ERNW Newsletter 34 /November 2010

Größe: px
Ab Seite anzeigen:

Download "ERNW Newsletter 34 /November 2010"

Transkript

1 ERNW Newsletter 34 /November 2010 Liebe Partner, liebe Kollegen, willkommen zur 34. Ausgabe des ERNW Newsletters mit dem Thema: Implementierung von zertifikatsbasierter Netzwerk-Authentifizierung im Unternehmensnetzwerk Version 1.0 vom 16. November 2010 Autoren: Oliver Roeschke, Christopher Werny, Abstract Im diesem Newsletter wird die Implementierung von IEEE 802.1X TM Netzwerkzugangskontrolle über Cisco-Komponenten, mit EAP-TLS, mit einer Microsoft-PKI mit Software-Zertifikaten in einer Windows Server 2008 R2-basierten Active Directory-Umgebung erläutert. Definition Umsetzung Kontrolle 1

2 INHALTSVERZEICHNIS 1 EINLEITUNG DAS FRAMEWORK 802.1X Zugrunde liegende Standards und Technologien X X.509v3-Zertifikate EAP EAP-TLS ANFORDERUNGEN UND BESCHREIBUNG DER UMGEBUNG Nicht-technische Anforderungen an die Lösung Struktur der Umgebung Active-Directory Netzwerk Infrastruktur Authentifizierungsserver Cisco Secure ACS Windows Clients Zertifikatsinfrastruktur VORBEREITENDE MAßNAHMEN IM NETZWERKBEREICH Netzstruktur Authentifzierungsmethoden Vorbereitung Netzwerk-Infrastruktur VORBEREITUNG DER ACTIVE-DIRECTORY UMGEBUNG Konfiguration des Credential Roaming Anonyme LDAP Anfragen an der Globalen Katalog konfigurieren Konfiguration des Autoenrollment Installation des Cisco ACS Remote Agent Prüfung der Active Directory-Benutzer VORBEREITENDE MAßNAHMEN PKI-UMGEBUNG Zertifikatsvorlagen Vorlage für Computer Zertifikate Vorlage für Benutzer Zertifikate Vorlage für Secure ACS Zertifikate Veröffentlichen der Vorlagen Autoenrollment Konfiguration Autoenrollment Konfiguration für Computer-Zertifikate Konfiguration für Benutzer-Zertifikate Autoenrollment Logging Konfiguration KONFIGURATION CISCO SECURE ACS Einrichtung des Remote Agents Definition Umsetzung Kontrolle 2

3 7.2 Import der PKI-Zertifikate in Secure ACS Konfiguration der vertrauenswürdigen Zertifizierungsstellen Konfiguration der Zertifikatssperrliste Anbindung des Secure ACS an das Active Directory Ausstellung des Secure ACS-Zertifikates Konfiguration EAP-TLS Basis Konfiguration EAP-TLS Konfiguration von 802.1X VLAN-Zuordnung Konfiguration MAC Authentication Bypass KONFIGURATION DER SWITCHE X Basis Konfiguration Anlegen des RADIUS-Clients Konfiguration MAC Authentication Bypass Konfiguration Wake-on-LAN Konfiguration des PXE Konfiguration des Guest-VLANs Konfiguration des Auth-Fail VLANs Konfiguration von Inaccessible Authentication Bypass KONFIGURATION DER CLIENT PCS TROUBLESHOOTING Sperrung von Benutzer- oder Computer-Zertifikaten Ausrollen neuer Benutzer-/Computer-Zertifikate Keine gültigen Zertifikate zur Authentifizierung vorhanden Definition Umsetzung Kontrolle 3

4 1 EINLEITUNG Eine häufige Anforderung in Unternehmensnetzwerken ist, dass Netzwerke gegen unerlaubte Zugriffe aus Netzen Dritter (beispielsweise dem Internet oder Partnerunternehmen) geschützt sind, jedoch keinerlei Kontrolle für den Zugriff aus den Unternehmensräumen heraus stattfindet. Somit kann durch die Einbringung von Fremdhardware (hierzu zählen alle Netzwerk-fähigen Geräte, die nicht durch die Unternehmens-IT beschafft und betreut werden) ein hohes Risiko für die Sicherheit der Systeme und verarbeiteten Daten entstehen. Der IEEE Standard 802.1X in Kombination mit EAP basierten Authentifizierungsmethoden stellt die gängigste Technologie im Bereich Netzwerkzugangskontrolle dar. Aufgrund seiner Modularität kann dieses Verfahren sowohl für kabelgebundene Netzwerke, wie auch Funknetzwerke genutzt werden. Es stehen weiterhin eine Reihe unterschiedlicher Authentifizierungsmethoden zur Verfügung. Diese ermöglichen eine auf das Unternehmen abgestimmte Implementierung. Der folgende Newsletter beschreibt das technische Setup einer 802.1X in einer Active Directory- Umgebung. Hierbei wird Zugangskontrolle sowohl durch Authentifizierung von Computern als auch Benutzern erreicht. Durch die Benutzerauthentifizierung wird gleichzeitig eine dynamische VLAN-Zuordnung von Systemen anhand der Benutzeridentität möglich. Als Authentifizierungsmerkmal kommen Zertifikate einer eigenen PKI Infrastruktur zum Einsatz. 2 DAS FRAMEWORK 802.1X Der von der IEEE (http://www.ieee.org) definierte Standard 802.1X bietet die Möglichkeit für kabelgebundene sowie drahtlose Netzwerke eine Zugangskontrolle zu etablieren. Hierbei können unterschiedliche Authentifizierungsmerkmale wie Benutzername und Kennwort oder Zertifikate genutzt werden, um den geforderten Identitätsnachweis zu erbringen. Anhand dieser Identität wird entschieden ob einem Computer oder Benutzer Zugang zum Netzwerk gewährt wird. Zusätzlich können eine Reihe netzwerkseitiger Konfigurationen, wie beispielsweise die Zuweisung eines Netzwerksegmentes vorgegeben werden. Innerhalb des 802.1X Konzepts agieren folgende Komponenten miteinander: Supplicant Authenticator Authentication Server Der Supplicant stellt die Software-Komponente auf der Seite der zu authentifizierenden Arbeitsstation dar. Sie ist zuständig für die Übermittlung der Authentifizierungsinformationen an den Authenticator. Der Authenticator ist ein Netzwerkgerät, beispielsweise ein Switch. Seine Aufgabe besteht in der Umsetzung der Authentifizierung. Hierzu kommuniziert er mit dem Supplicant mittels des EAPoL Protokolls. Mit dem Authentication Server kommuniziert er über das RADIUS Protokoll. Da der Authentifzierungsvorgang zwischen Supplicant und Authentication Server stattfindet, benötigt der Authenticator nur ein geringfügiges Verständnis des Vorganges. Er vermittelt den Vorgang und setzt die Entscheidung des Authentication Servers um. Der Authentication Server stellt den Kommunikationsendpunkt vom Supplicant aus gesehen, während der Authentifizierung dar. Er benötigt volles Verständnis über den Ablauf der Authentifizierung. Im Ablauf der Authentifizierung identifiziert sich der Authentication Server auch gegenüber dem Supplicant, um die gegenseitige Authentifizierung sicher zu stellen. Durch die Einbindung externer Datenbanken können Identitäten, beispielsweise gegen Verzeichnisdienste wie das Windows Active-Directory, geprüft werden. Definition Umsetzung Kontrolle 4

5 2.1 Zugrunde liegende Standards und Technologien X Der 802.1X Standard definiert ein Framework zur Authentifizierung von Netzwerkgeräten und Benutzern. Mittels der beschriebenen Schnittstellen findet eine Integration des Extensible Authentication Protocol (EAP) statt, dessen Transport in kabelgebundenen und kabellosen Ethernet-Netzwerken mittels EAP over LAN (EAPOL) stattfindet. Diese Konstellation bildet die Grundlage für Authentifizierungsmechanismen wie EAP-TLS, EAP-TTLS oder PEAP. Die 802.1X Spezifikation kann unter folgender URL abgerufen werden: Die Spezifikation des EAP Standard steht unter folgender Adresse zur Verfügung: X.509v3-Zertifikate Ein Zertifikat ist eine digital signierte Verknüpfung von Identitäts-Informationen mit einem öffentlichen Schlüssel. Zertifikate enthalten in der Regel folgende Informationen: Subject (Antragsteller): Informationen zur Identität (Benutzer, Computer oder Netzwerkgerät) des Zertifikatsinhabers Issuer (Aussteller): Informationen zur Identität der Signatur erzeugenden Zertifizierungsstelle Öffentlicher Schlüssel der dem Subject zugeordnet ist Name des Signaturalgorithmus, der zur Berechnung der Signatur eingesetzt wurde Gültigkeitszeitraum des Zertifikats in Form eines Gültig ab und Gültig bis Zeitstempels Angaben zum Sperrlistenverteilungspunkt (CDP) Seriennummer des Zertifikats Liste der verwendeten X.509 V3-Erweiterungen im Zertifikat ggf. weitere Attribute (etwa eine vom Unternehmen beantragte Objekt-ID für einen bestimmten Verwendungszweck (OID)) Die aktuelle Version des X509v3 Standards kann unter folgender Adresse bezogen werden: EAP Der IETF Standard Extensible Authentication Protocol (EAP) dient als Authentifizierungs- Framework im Bereich Netzwerkzugangskontrolle. Er definiert einen Transportmechanismus für Authentifizierungsdaten, während die eigentliche Authentifizierungsmethode individuell gewählt werden kann. Es stehen eine Reihe von Methoden, beispielsweise MD5, SIM, Benutzername und Kennwort oder Zertifikate zur Verfügung, um den Authentifizierungsvorgang durchzuführen. Kommen Methoden zum Einsatz, die Verschlüsselungsmaterial erzeugen, kann dieses über EAP ausgehandelt und übertragen werden. Die aktuelle Version des EAP Standards kann unter folgender Adresse bezogen werden: Definition Umsetzung Kontrolle 5

6 2.1.4 EAP-TLS Das Transport Layer Security (TLS) Protokoll ist eine Weiterentwicklung des von Netscape entworfenen Secure Socket Layer (SSL) Protokolls. Es dient der verschlüsselten Übertragung vertraulicher Inhalte über Netzwerke. Es unterstützt die gegenseitige Authentifizierung der Kommunikationsteilnehmer mittels digitaler Zertifikate nach dem X509v3 Standard. Der IETF Standard EAP-TLS adaptiert das TLS Protokoll für die Nutzung innerhalb des EAP Authentifizierungsframeworks. Hierbei werden die Authentifizierungs- und Schlüsselgenerierungsmechanismen des TLS Standards genutzt, um den Authentifizierungsvorgang sowie den Schlüsselerzeugungsvorgang abzubilden. EAP-TLS eignet sich als Authentifizierungsmethode für gemischte Netzwerke, die sowohl kabelgebunden wie auch funkbasiert arbeiten, da neben der Authentifizierung eine manipulationssichere Schlüsselgenerierung erfolgt. Das hiermit erzeugte Schlüsselmaterial kann beispielsweise als dynamischer Schlüssel für WLAN-Verbindungen eingesetzt werden. Die (im November 2010) aktuelle Version des TLS Standards kann unter folgender Adresse bezogen werden: Die (im November 2010) aktuelle Version des EAP-TLS Standards kann unter folgender Adresse bezogen werden: EAP-TLS Architektur und Nachrichtenformat EAP nutzt ein Request Response Mechanismus. Innerhalb der Datenpakete zeigt das Type Feld an, um welche EAP Methode es sich bei den transportierten Nutzdaten handelt. Der Wert 13 im Type Feld zeigt an, dass TLS Daten für EAP-TLS Authentifizierung übertragen werden. Der Transport der TLS Daten wird in Server-to-Client Richtung über EAP-Request Nachrichten übertragen, in Client-to-Server Nachrichten werden diese in EAP-Response Pakete eingebettet. Die TLS-Architektur, welche auf dem Client/Server Prinzip basiert widerspricht dem Konzept von EAP, das ein 3-Tier Modell (Supplicant, Network Access Server/Authenticator und Authentication Server). Daher wird die Rolle des NAS stark reduziert. Er verifiziert lediglich die Vollständigkeit von TLS Nachrichten, die Kommunikation findet zwischen Supplicant und Authentication Server statt. Abbildung 1: EAP Entitäten Definition Umsetzung Kontrolle 6

7 Protokoll Übersicht Da die EAP-TLS Spezifikation zunächst für die Nutzung über PPP Verbindungen vorbereitet war, basiert die ursprüngliche Protokoll-Übersicht auf einem 2 Tier Modell. Abbildung 2: EAP-TLS Flow Bei Nutzung von EAP über eine PPP Verbindung, startet der Prozess wenn der Client eine PPP LCP Bestätigung sendet, dies zeigt die Übereinstimmung des Clients, EAP als Authentifizierungsprozess zu nutzen. Zunächst sendet der Server ein EAP-Request/Identity Paket, welches den Client auffordert seine Identität zu übertragen. Diese wird dann mittels dem EAP-Response/Identity übertragen. Danach folgt der Aufbau der TLS-Verbindung, wobei die TLS Start Nachricht in ein EAP- Request Packet eingebettet wird. Wird die Methode durch den Client unterstützt, antwortet dieser mit dem TLS Client Hello Kommando. Die gegenseitige Authentifizierung wird durch den Austausch der digitalen Zertifikate zwischen Client und Server erreicht. Des Weiteren werden in TLS Nachrichten die nötigen Informationen zur Schlüsselerzeugung und Algorithmenwahl übertragen. Einen erfolgreichem Ablauf des TLS Handshakes signalisiert der Client durch die Übermittlung eines leeren TLS Pakets innerhalb einer EAP/Response. Wird dies durch den Server mit einem EAP-Success Paket bestätigt, ist die EAP-TLS Authentifizierung erfolgreich abgelaufen. Definition Umsetzung Kontrolle 7

8 3 ANFORDERUNGEN UND BESCHREIBUNG DER UMGEBUNG Der folgende Abschnitt beschreibt eine technische Umgebung, die sich aus der Historie eines Unternehmens heraus entwickelt hat. Die ab Kapitel 4 dargestellten technischen Maßnahmen beschreiben die vorgenommene 802.1X Implementierung in ihren jeweiligen Schritten. 3.1 Nicht-technische Anforderungen an die Lösung Im Voraus wurde durch den Kunden eine Reihe von Anforderungen definiert, die durch die neue 802.1X Lösung erfüllt werden sollten: Ablösung des Cisco User Registration Tools (URT). URT wird vom Kunden seit einigen Jahren eingesetzt, und implementiert mittels eines Agents auf den Geräten dynamische Zuordnung von Benutzern/Computern zu unterschiedlichen Segmenten. Da dieses Produkt vom Hersteller nicht mehr gepflegt wird, (das End of Life Datum ist überschritten) ist ein zeitnaher Ersatz der Technologie notwendig. Sichere Authentifzierung von Geräten mittels Zertifikaten, sowohl für Benutzer als auch für Computer. Management von Zertifikaten ist ein (soweit möglich) automatischer Prozess, in welchen nur in Problemfällen manuell eingegriffen werden muss. Dies gilt sowohl für die Initiale Ausstellung eines Zertifikates, wie auch für seine Erneuerung und das Widerrufen. Bei diesen Prozessen soll insbesondere keine Interaktion mit dem Endanwender notwendig sein. Zur Speicherung von Zertifikaten werden keine Smart-Cards eingesetzt. Die hiermit verbundenen Implikationen auf die Produktivität von Mitarbeitern bei Vergessen oder Verlust/technischem Defekt der Karte werden somit vermieden. Definition Umsetzung Kontrolle 8

9 3.2 Struktur der Umgebung Die folgende Grafik zeigt (die vereinfachte) Netzstruktur, sowie die Positionierung der einzelnen Systeme im Netzwerk. Abbildung 3: Struktur der Umgebung Unternehmens-PCs sind (mit wenigen Ausnahmen) grünen Netzen zugeordnet, während in roten Netzen Geräte mit hohem Schutzbedarf, Bedrohungspotential zugeordnet werden. Hierzu zählen beispielsweise Produktionssysteme, Drucker, nicht 802.1X fähige Infrastrukturgeräte, Gäste und Weitere. Die Strukturierung ist Resultat der Historie der gesamten Umgebung. Die Root CA besitzt aus Sicherheitsgründen kein Zugang zum Netzwerk, da ihr ein hoher Schutzbedarf (aufgrund der Funktion) zukommt. 3.3 Active-Directory Das Setup der Active-Directory Umgebung entspricht einer hierarchischen Struktur, bestehend aus einer Root-Domäne, sowie einer Sub-Domäne. Benutzer und Computer die mit 802.1X authentifiziert werden sollen, sind jeweils der Sub-Domäne zugeordnet. Alle Domänen- Controller werden auf Basis von Windows Server 2008 R2 betrieben. Während der Umstellung der Domain Controllers (DCs) von Server 2003 auf Server 2008 R2 wurden die entsprechenden Schema-Erweiterungen im Active-Directory (automatisch vom Setup-Programm) durchgeführt. Die Domänen-Controller der Root-Domäne sind in einem separaten DMZ-Segment platziert. Die Domänen-Controller der Sub-Domäne sind in internen Server Segmenten platziert. Definition Umsetzung Kontrolle 9

10 3.4 Netzwerk Infrastruktur Die Netzwerk-Infrastruktur wird praktisch ausschließlich durch Cisco Geräte bereitgestellt. Hierbei kommen im Bereich der Access Ports 1 Switches der 3560er Familie zum Einsatz. Diese sind im Backbone-Bereich 2 durch Catalyst Switches der 6500er Serie angebunden. Für interne Filterung von Datenverkehr kommen Cisco ASAs zum Einsatz, die Anbindung von DMZ Segmenten erfolgt über einen Checkpoint Cluster. Auf den Access-Switches ist das IOS Release 12.2(50) oder neuer installiert. Dies ist Voraussetzung für eine Reihe von erweiterten Funktionen im Bereich 802.1X. Hierzu zählt die Anpassung der Authentifizierungsreihenfolge. Diese steuert, ob alternative Authentifizierungsverfahren wie MAC Authentication Bypass (MAB) eingesetzt werden, und in welcher Reihenfolge die Authentifizierungen erfolgen. 3.5 Authentifizierungsserver Cisco Secure ACS Als Authentifizierungsserver setzt das Unternehmen bereits mehrere Cisco Secure Access Controller Server (ACS) in Version ein. Bei vorherigen Versionen gibt Cisco eine unvollständige Unterstützung von Windows Server 2008 R2 an. Zur Aufrechterhaltung der Verfügbarkeit in Problemfällen sind die Authentifizierungsserver redundant ausgelegt. Hierbei kommen sowohl ACS Solution Engines in Appliance Form, wie auch eine Software Installation des Secure ACS auf Basis von Windows Server zum Einsatz. Es wurde die ACS interne Replikation eingerichtet, um eine Gleichheit der Konfigurationsparameter und lokalen Datenbankinhalten zu gewährleisten. 3.6 Windows Clients Auf den Arbeitsstationen und Notebooks ist Windows XP mit Service Pack 3 oder höher installiert. Systeme mit älterem Softwarestand können nicht für die 802.1X Authentifizierung genutzt werden und werden nicht berücksichtigt. Dies ergibt sich aus dem Umstand, dass keine Smart-Cards für die Speicherung von Zertifikaten eingesetzt werden. Die Verfügbarkeit der digitalen Zertifikate wird durch Active-Directory Funktion Credential Roaming erreicht. Diese Funktion ist jedoch erst mit Windows XP SP3 nutzbar. 3.7 Zertifikatsinfrastruktur Die für die Authentifizierung von Computern und Benutzern eingesetzten Zertifikate werden von einer unternehmensinternen PKI Infrastruktur erzeugt. Diese wurde zweistufig ausgelegt, da eine Erweiterung der funktionellen Anforderungen über den Bereich Netzwerk-Authentifizierung hinaus nicht ausgeschlossen werden konnte (und sollte). Initial wurde eine Stand-Alone Root CA eingerichtet. Diese ist für die Signatur des Zertifikats der Subordinate CA zuständig. Die Root CA wird innerhalb der Umgebung ohne Anbindung an das Netzwerk betrieben, Zertifikatsanträge müssen mittels mobiler Datenträger übertragen werden. Die Subordinate CA ist für die Signierung der Computer und Benutzerzertifikate zuständig. Es handelt sich hierbei um eine Windows Enterprise CA, basierend auf einem Windows Server 2008 R2 System, welches in die Root-Domäne eingebunden ist. Der gewählte Betriebsmodus der CA ermöglicht die Nutzung von Zertifikatsvorlagen und der Autoenrollment Funktion. Dieses gewährleistet die automatische Verteilung und Erneuerung von Computer- und Benutzerzertifikaten. 1 Ausgehend von einem hierarchischen Netzwerk-Design sind im Access-Bereich Endsysteme wie Arbeitsstationen angeschlossen. 2 Ausgehend von einem hierarchischen Netzwerk-Design stellt der Backbone-Bereich die Spitze der Architektur dar, dessen Aufgabe die schnelle Vermittlung von Daten zwischen den einzelnen Teilbereichen ist. 3 Eine Installation dieser Software auf Windows Server 2008 R2 ist nicht möglich. Definition Umsetzung Kontrolle 10

11 4 VORBEREITENDE MAßNAHMEN IM NETZWERKBEREICH Der folgende Abschnitt beschreibt die zur Authentifzierung von Geräten mittels 802.1X eingesetzten Methoden, sowie die dazugehörige VLAN Struktur. 4.1 Netzstruktur Das Netzwerk ist in eine Reihe unterschiedlicher VLANs segmentiert. Eine dynamische Zuordnung der Geräte/Benutzer zu den Segmenten findet bereits durch die vorhandene URT- Lösung statt und soll beibehalten werden. Es wird grundsätzlich zwischen grünen und roten Netzen unterschieden. Innerhalb grüner Netze darf lediglich unternehmensinterne Kommunikation stattfinden. Geräte die an einem solchen Netz angehören gelten als vertrauenswürdig. Einzelne grüne Netzsegmente werden anhand der Funktionalität oder Abteilungszugehörigkeit von Benutzern/Geräten unterschieden. Es findet eine entsprechende dynamische Zuordnung der Benutzer zu einem grünen Benutzersegment statt. Ist keine Zuordnungs-Information für einen Benutzer/Gerät hinterlegt, so wird dieser dem Global Default zugewiesen. Maschinen mit Zuordnung sind standardgemäß dem Global Maschine Segment zugeordnet. Rote Netze stellen Segmente mit Benutzern/Geräten dar, die weniger vertrauenswürdig sind. Diese werden durch restriktive Filterung in ihren Kommunikationsmöglichkeiten eingeschränkt. Rote Netze sind beispielsweise das Gäste-Netz, das InAccessible Authentication VLAN, welchem Geräte beim Ausfall des Radius-Server zugeordnet werden, und Segmente für spezielle Geräte wie Drucker, Produktionsmaschinen und DECT-to-VoIP Bridges. Geräte, welche dediziert als weniger vertrauenswürdig eingestuft wurden, werden dem entsprechenden roten Netz zugeordnet. Das Gleiche gilt für Geräte die schwächere Formen der Authentifizierung unterstützen, sowie für alle unbekannten Geräte (Gäste). Abbildung 4: Schema der VLAN Zuordnung von Geräten/Benutzern Definition Umsetzung Kontrolle 11

12 4.2 Authentifzierungsmethoden Zur Authentifizierung von Geräten und Benutzern soll, soweit technisch möglich, EAP-TLS eingesetzt werden, da der Identitätsnachweis mittels eines Zertifikats durchgeführt wird. Dies Authentifizierungsmethode ist daher weder anfällig für Man-In-The-Middle Attacken noch für eine Fälschung von Zertifikaten 4. Geräte, welche nicht mittels Zertifikaten authentifiziert werden können, sind beispielsweise Drucker, DECT-to-VoIP Bridges, Spezialhardware, sowie veraltete Windows Versionen. Diese werden mittels MAC Authentication Bypass (MAB) authentifiziert. Es handelt sich hierbei um eine im Cisco Switch integrierte Funktion. Diese ermittelt aus dem ersten Datenpaket, das von einem Endgerät gesendet wird, die Absender MAC-Adresse und versucht den Port anhand dieser Information zu authentifizieren. 4.3 Vorbereitung Netzwerk-Infrastruktur Die Netzwerk-Infrastruktur muss entsprechend der Authentifizierungsmethode vorbereitet werden. Dies beinhaltet das Anlegen der im vorigen Abschnitt beschriebenen VLANs, die Einrichtung potentiell notwendiger Firewall-Regeln und Routingeinträgen. Wird Netzwerkverkehr, welcher an die Subordinate CA gerichtet ist, durch eine Firewall gefiltert, müssen zusätzlich folgende Ports freigeschaltet werden, um Autoenrollment zu erlauben: Zielsystem Protokoll Port Subordinate CA TCP 135 Subordinate CA TCP Root Domain Controller TCP/UDP 88 Root Domain Controller UDP 389 Tabelle 1: Port Übersicht für Firewallregeln 5 VORBEREITUNG DER ACTIVE-DIRECTORY UMGEBUNG Das folgende Kapitel beschreibt die Konfigurationseinstellungen, welche vorbereitend in der Active-Directory Umgebung vorgenommen werden müssen. 5.1 Konfiguration des Credential Roaming Die Nutzung digitaler Zertifikate zur Authentifizierung erfordert die Nutzung der ab Windows Server 2008 eingeführten Funktion Credential Roaming. Da Benutzer-Zertifikate grundsätzlich im Zertifikatsspeicher des Benutzers abgelegt werden, resultiert dies in einer Neuausrollung des Benutzer-Zertifikates, falls sich der Benutzer an unterschiedlichen Computern anmeldet. Dies führt zu einem Benutzer-Zertifikat pro Computer, an welchem sich der Benutzer angemeldet hat. Mit Hilfe der Funktion Credential Roaming werden das Zertifikat sowie der dazugehörige private Schlüssel im Active-Directory hinterlegt. Ein Computer kann während des Windows Anmeldevorganges auf diese Informationen zugreifen, sie lokal cachen, und anschließend zur Authentifizierung am Netzwerk nutzen. 4 Unter der Voraussetzung der private Schlüssel der signierenden Zertifizierungsstelle wurde nicht kompromittiert. Definition Umsetzung Kontrolle 12

13 Zum Schutz der Informationen sind diese in einem speziellen Confidential Attribute hinterlegt. Die Konfiguration von Credential Roaming wird durch ein Gruppenrichtlinien-Objekt vorgenommen 5. Das Gruppenrichtlinien-Objekt ist, wie im folgenden Screenshot gezeigt, unter Administrative Templates der Benutzer Konfiguration zu finden. Die Einstellungen werden unter Certificate Services Client Credential Roaming vorgenommen: Abbildung 5: Credential Roaming GPO Einstellungen 5 Für Active Directory Umgebungen, die keinen Server 2008 basierenden Domänen-Controller enthalten, müssen separate Konfigurationsschritte vorgenommen werden, um diese Funktionalität nachzurüsten. Eine ausführliche Anleitung ist unter folgender Adresse verfügbar: Definition Umsetzung Kontrolle 13

14 Die Einstellungen müssen wie abgebildet vorgenommen werden. Neben der Aktivierung ist die Einstellung der Tombstone Lifetime und der maximalen Anzahl Roaming Credentials per user zu beachten. Die Tombstone Lifetime sollte dem in Ihrer Umgebung verwendeten Wert entsprechen. 6 Eine hohe Anzahl von Credentials pro Benutzer können bei einer großen Anzahl Benutzer/Computer im Active-Directory zur Verlängerung der Replikationsdauer führen. Abbildung 6: X509 GPO Einstellungen Beim Verknüpfen des Gruppenrichtlinien-Objekts muss auf die korrekte Anwendung innerhalb der AD-Struktur geachtet werden. Es wird empfohlen dies nicht domänenweit, sondern auf die jeweiligen Organizational Units zu binden, innerhalb derer die zu authentifizierenden Benutzer angelegt sind. 5.2 Anonyme LDAP Anfragen an der Globalen Katalog konfigurieren Per Standard ist der Zugriff auf im Active-Directory gelegene Informationen nur für Domänen Mitglieder möglich. Alternativ hierzu können von Nicht-Domänen-Mitgliedern LDAP-Anfragen mit Authentifizierung gegen den Global Catalog/Domain Controller gestellt werden, um Informationen abzufragen. Bis inklusive Version beherrscht der Secure ACS keine der beiden Möglichkeiten zum Abruf von Informationen, jedoch können anonyme (nicht 6 Diese Betrug bis vor Windows Server 2003 SP1 60 Tage, ab Windows Server 2003 SP1 und bis zu Windows Server 2008 R2 180 Tage. Da die betrachtete Umgebung aus einem Upgrade von Windows Server 2003 vor SP1 stammt, sind die 60 Tage beibehalten. Definition Umsetzung Kontrolle 14

15 authentifizierte) LDAP-Anfragen genutzt werden. Um mittels dieser Abfragen die Zertifikatssperrliste zu erhalten, ist es nötig, anonyme LDAP-Abfragen gegen den Global Catalog zu erlauben 7, und die Zugriffsrechte für Zertifikatssperrlisten anzupassen. Die dazu nötigen Schritte werden im Folgenden beschrieben. Zunächst muss die Bibliothek, welche das Schema Management ermöglicht registriert werden. Dies kann mittels der Kommandozeile mit dem Befehl regsrv schmgmt.dll vorgenommen werden. Abbildung 7: Registrierung des Schema Management SnapIn Im MMC SnapIn Active-Directory Schema werden die Änderungen am Attribut certificaterevocationlist vorgenommen 8. Dies ist in der Kategorie Attributes zu finden: Abbildung 8: certificationrevocationlist Attribut Die Eigenschaften dieses Attributes müssen angepasst werden, so dass die folgenden Optionen aktiviert sind: Index this attribute in the Active Directory Replicate this attribute to the Global Catalog Index this attribute for containerized searches in the Active Directory 7 Die Deaktivierung von anonymen LDAP-Anfragen stellt eine große Errungenschaft seit Windows Server 2003 SP2 dar. Die geforderte Reaktivierung bringt entsprechende Problematiken mit sich. Ist dies unerwünscht können Sperrlisten von HTTP-Adressen aus abgerufen werden. Hierbei ist jedoch auf die redundante Auslegung dieser Adressen sowie einer einwandfrei funktionierenden Replikation der Sperrlisten zu achten. 8 Bei Änderungen des Active Directory Schema ist eine große Sorgfaltspflicht geboten, da fehlerhafte Änderungen massive Auswirkungen auf die Funktion haben können. Definition Umsetzung Kontrolle 15

16 Abbildung 9: Anpassung der Optionen für das CRL Attribut Aus dem Windows Support Tools Packet wird im nächsten Schritt das MMC SnapIn ADSI Edit benötigt. Das Paket kann unter folgender URL heruntergeladen werden: Definition Umsetzung Kontrolle 16

17 Zur Durchführung der notwendigen Änderungen am Global Catalog muss eine Verbindung zum Naming Context Configuration aufgebaut werden. Abbildung 10: Verbindung zum Configuration Context aufbauen Für alle Verzeichnisse, welche unterhalb von CN=Services, CN=Public Key Services, CN=CDP liegen, sowie das darin befindliche Attribut crldistributionpoint müssen die Zugriffsrechte angepasst werden. Hierbei muss der im Reiter Security der Benutzer Anonymous hinzugefügt und diesem Read Rechte zugewiesen werden. Definition Umsetzung Kontrolle 17

18 Abbildung 11: Zuweisung von Leserechten für Anonymous Abbildung 12: Zuweisung der Leserechte auf das crldistributionpoint Attribut Ist der Domain Functional Level nicht kleiner als Windows Server 2003 SP1, müssen anonyme LDAP Anfragen aktiviert werden. In älteren Active Directory Umgebungen ist dies standardgemäß aktiviert. Im Configuration Context, muss im Pfad CN=Configuration, Definition Umsetzung Kontrolle 18

19 CN=Services, CN=WindowsNT dem Attribut dsheuristics der Wert zugewiesen werden 9. Abbildung 13: Aktivieren der anonymen LDAP Anfragen 9 Bei Änderungen des dsheuristic Wertes ist eine große Sorgfaltspflicht geboten, da fehlerhafte Änderungen massive Auswirkungen auf die Funktion haben können. Die genaue Dokumentation des Parameters kann unter folgender Adresse abgerufen werden: Definition Umsetzung Kontrolle 19

20 Im Secure ACS muss die LDAP-Adresse des zum ACS am Nächsten gelegenen Global Catalog eingetragen werden. Die LDAP-Adresse lässt sich aus den Zertifikaten im Reiter Details unter dem Punkt CRL Distribution Points ermitteln. Abbildung 14: CRL Distribution Points der Zertifikate 5.3 Konfiguration des Autoenrollment Autoenrollment der Benutzer- und Computerzertifikate wird über die Gruppenzugehörigkeit im Active Directory gesteuert. Hierzu muss in der Root- wie Subdomäne eine Gruppe für das Ausrollen von Benutzerzertifikaten und Computerzertifikaten erstellt werden. Wird ein Benutzer bzw. Computer als Mitglied in einer der Gruppen konfiguriert, so erhält diese Identität automatisch ein Zertifikat. Die Benennung der Gruppen sollte, wie im folgenden Screenshot gezeigt, sprechend vorgenommen werden. Definition Umsetzung Kontrolle 20

21 Abbildung 15: Erstellung einer AD-Gruppe für Auto-Enrollment der Benutzer-Zertifikate Nach Anlegung der min. 4 Gruppen (Benutzer- & Computer-Zertifikate (2 Gruppen) in Sub- und Root-Domäne (2 Domänen)) müssen die Gruppen der Subdomäne in ihren äquivalenten Gruppen innerhalb der Root-Domäne aufgenommen werden. Wie im Abschnitt 6.1 gezeigt, werden auf die Gruppen der Root-Domäne die Zugriffsrechte für Zertifikatsvorlagen gesetzt. 5.4 Installation des Cisco ACS Remote Agent Die Kommunikation zwischen der Secure ACS Appliance und dem Active Directory findet mittels eines Agents statt, der auf einem Domänencontroller installiert sein muss. Dieser Agent reicht die Anfragen an den Domänencontroller weiter. Die Ergebnisse der Anfrage werden durch den Agent an die Appliance zurück vermittelt. Dieser Remote Agent MUSS auf allen Domänencontrollern installiert sein, welche durch Secure ACS Appliances genutzt werden sollen. Hierbei ist darauf zu achten, dass die installierte Version des Remote Agents mindestens oder aktueller beträgt, da ältere Versionen Windows Server 2008 R2 basierte Domänencontroller nicht unterstützen. 5.5 Prüfung der Active Directory-Benutzer Für Benutzer die sich via EAP-TLS authentifizieren sollen, müssen in den Active Directory Konto Einstellungen für die Felder User Logon Name und User Logon Name (pre-windows 2000) jeweils identische Werte gesetzt haben. Andernfalls kommt es zu Problemen während der EAP- TLS Authentifizierung. Diese äußern sich durch Logeinträge im Secure ACS, welche aussagen, dass der zu authentifizierende Benutzer im Active Directory nicht gefunden wurde. Definition Umsetzung Kontrolle 21

22 6 VORBEREITENDE MAßNAHMEN PKI-UMGEBUNG Im Folgenden werden die Konfigurationsmaßnahmen in der PKI-Umgebung beschrieben, welche notwendig für die automatisierte Ausstellung von Benutzer/Computer Zertifikaten sind. Es wird nicht näher auf die Installation der PKI-Installation eingegangen. Voraussetzung für die Durchführung der in Abschnitt 6 beschriebenen Schritte ist die fehlerfreie Installation der PKI- Umgebung mit einer Stand-Alone Root-CA sowie einer Enterprise Sub-CA, die im Active Directory eingebunden ist. Hierbei ist zu prüfen, dass die Verfügbarkeit der Zertifikatssperrlisten im Active Directory gewährleistet ist. 6.1 Zertifikatsvorlagen Das automatisierte Ausrollen von Zertifikaten basiert auf Vorlagen, die mit der Enterprise CA Funktion der Windows Certificate Services verfügbar ist. Diese Vorlagen definieren den Aufbau und die Inhalte eines Zertifikates, unter welchen Bedingungen ein Zertifikatsantrag automatisch signiert wird, und für welche Active Directory Gruppe die automatische Ausrollung erlaubt ist. Die Konfiguration von Zertifikatsvorlagen wird über das MMC-SnapIn Certificate Templates vorgenommen Vorlage für Computer Zertifikate Zunächst muss eine neue Vorlage für Computer Zertifikate erstellt werden. Die Vorlage für Autoenrollment wird von der Computer Vorlage durch duplizieren abgeleitet: Abbildung 16: Duplizieren der Computer Vorlage Im Duplicate Template Dialog ist als Version der neuen Zertifikatsvorlage Windows Server 2003, Enterprise Edition zu wählen. Hierdurch ist eine problemfreie Integration in den Auto-Enrollment Mechanismus garantiert. Definition Umsetzung Kontrolle 22

23 Abbildung 17: Wahl der Vorlagen Version In den nachfolgenden Schritten werden die Eigenschaften der Vorlage angepasst. Im Reiter General sollte zunächst ein sprechender Name für die Vorlage vergeben werden. Weiterhin ist die Validity Period und Renewal Period der Zertifikate zu prüfen. Erstere definiert wie lang ein Zertifikat, das anhand dieser Vorlage ausgerollt wurde, gültig ist. Werte kleiner 1 Year werden nicht empfohlen, da mobile Systeme (beispielsweise Notebooks von Außendienstmitarbeitern) potentiell nicht ausreichend häufig ihr Zertifikat erneuern können. Die Renewal Period gibt an, ab welchem Zeitraum vor Ablauf der Zertifikatsgültigkeit versucht wird, mittels Autoenrollment ein neues Zertifikat zu beantragen. Auch hier gilt, dass zu kurze Zeiten dazu führen können, dass problematische Geräte kein Computer Zertifikat besitzen. Abbildung 18: Allgemeine Einstellung der Vorlage Die Einstellungen für Parameter in den Reitern Request Handling, Subject Name, Issuance Requirements und Extensions können übernommen werden. Im Reiter Superseeded Templates ist es nötig, die Vorlage Computer hinzuzufügen. Definition Umsetzung Kontrolle 23

24 Abbildung 19: Die Computer Vorlage wird durch die neue Vorlage ersetzt Im Reiter Security muss das Objekt Domain Computers der Root- und Sub-Domäne hinzugefügt und mit den folgenden Rechten versehen werden: Read Enroll Autoenroll Definition Umsetzung Kontrolle 24

25 Abbildung 20: Zugriffsrechte der AD-Computer auf Vorlage festlegen Vorlage für Benutzer Zertifikate Die Vorlage für Benutzer-Zertifikate wird analog zu der Vorlage für Computer-Zertifikate erstellt. Als zu duplizierende Vorlage kann die Vorlage Benutzer dienen. Eine Anpassung der Vorlagen Eigenschaften kann hinsichtlich der gewünschten Validity Period und Renewal Period nötig sein. Im Reiter Security muss der in Abschnitt 5.2 erstellte Gruppe die folgenden Rechte zugewiesen werden: Read Enroll AutoEnroll Definition Umsetzung Kontrolle 25

26 Abbildung 21: Festlegung der Zugriffsrechte auf die Vorlage für Benutzer-Zertifikate Vorlage für Secure ACS Zertifikate Die Vorlage für Secure ACS Zertifikate wird analog zu der Vorlage für Computer-Zertifikate erstellt. Als zu duplizierende Vorlage kann die Vorlage Web Server dienen. Eine Anpassung der Vorlagen Eigenschaften kann hinsichtlich der gewünschten Validity Period und Renewal Period nötig sein. Im Reiter Security muss den Active Directory Gruppen Enterprise-Admins und Domain Admins die folgenden Rechte zugewiesen werden: Read Enroll Veröffentlichen der Vorlagen Abschließend müssen im MMC-SnapIn Certificate Authority die erstellten Vorlagen im Active Directory veröffentlicht werden. Andernfalls ist deren Nutzung durch Autoenrollment nicht möglich. Hierzu wird im Kontextmenü des Ordners Certificate Templates der Punkt New und Certificate Template to Issue gewählt. Definition Umsetzung Kontrolle 26

27 Abbildung 22: Veröffentlichen der Vorlagen im Certificate Authority SnapIn Im nachfolgenden Dialog müssen die drei zuvor erstellten Vorlagen einzeln ausgewählt werden, und die Veröffentlichung mit OK bestätigt werden. Abbildung 23: Auswahl der zu veröffentlichenden Vorlage 6.2 Autoenrollment Konfiguration Autoenrollment von Zertifikaten wird mittels Gruppenrichtlinien konfiguriert. Diese können je nach Anforderung und Struktur des Active Directory Domänenweit oder eingeschränkt auf eine bestimmte Organizational Unit konfiguriert werden. Dies ist abhängig von der Active Directory Struktur, in welche 802.1X integriert wird. Die automatische Zertifikatsaustellung mittels Group Policy Objects sollte vor der Aktivierung von 802.1X an den Switchports abgeschlossen sein. Andernfalls kann dies zu massiven Problemen bei der Kommunikation von Computern mit dem Netzwerk führen. Definition Umsetzung Kontrolle 27

28 6.2.1 Autoenrollment Konfiguration für Computer-Zertifikate Die Konfiguration wird im MMC SnapIn Active Directory Users and Computers vorgenommen. Im Kontextmenü der Domäne oder OU muss der Punkt Properties gewählt werden: Abbildung 24: Wahl der Domäne/OU für Computer Auto-Enrollment Die Änderungen sollten in einer separaten Domain Policy vorgenommen werden. Dies gilt insbesondere, wenn die neu erstellte GPO auf mehrere Organizational Units angewendet werden soll. Im Group Policy Object Editor wird der Unterbaum Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies gewählt. Der Object Type Autoenrollment Settings bietet die Möglichkeit die Einstellungen, wie im Screenshot gezeigt, vorzunehmen: Definition Umsetzung Kontrolle 28

29 Abbildung 25: Einstellungen für Autoenrollment Konfiguration für Benutzer-Zertifikate Die Autoenrollment Konfiguration für Benutzer-Zertifikate erfolgt analog zu der Konfiguration von Autoenrollment für Computer Zertifikate. Lediglich im Group Policy Object Editor wird als Pfad User Configuration -> Windows Settings -> Security Settings -> Public Key Policies für das Einrichten der Einstellungen gewählt. Abbildung 26: Einrichtung Auto-Enrollment Benutzer Zertifikate Definition Umsetzung Kontrolle 29

30 6.2.3 Autoenrollment Logging Konfiguration Um detaillierte Informationen über den Verlauf, insbesondere bei fehlgeschlagenen Autoenrollment Vorgängen, zu erhalten, ist es empfehlenswert das erweiterte Logging für Autoenrollment zu aktivieren. Hierzu ist die Modifikation der folgenden Registrierungsschlüssel notwendig (siehe auch Enrollment für Registryschlüssel Wert Computer Zert. HKEY_LOCAL_MACHINE\Software\ Microsoft\Cryptography\ Autoenrollment Benutzer Zert. HKEY_CURRENT_USER\Software\ Microsoft\Cryptography\ Autoenrollment Tabelle 2: Übersicht Registry-Keys für Auto-Enrollment Logging AEEventLogLevel DWORD = 0 AEEventLogLevel DWORD =0 7 KONFIGURATION CISCO SECURE ACS Der folgende Abschnitt beschreibt die Konfigurationsschritte, um einen Cisco Secure ACS als Authenticator für EAP-TLS einzurichten. Werden, wie in Abschnitt 3.5, mehr als ein Secure ACS verwendet, so empfiehlt sich vor der Konfiguration der EAP-TLS Parameter die Secure ACS interne Replikation zu konfigurieren und zu testen. Hierdurch wird die getrennte Konfiguration der einzelnen Secure ACS überflüssig, soweit die Optionen von der Replikation abgedeckt werden. Auf die grundsätzliche Einrichtung des Secure ACS wird im Weiteren nicht weiter eingegangen, und die entsprechenden Schritte als fehlerfrei vollzogen vorausgesetzt. Bei der Basiskonfiguration sollte ein besonderes Augenmerk darauf gelegt werden, dass der Secure ACS seine lokale Systemzeit mittels NTP gegen die Domänencontroller abgleicht. Dies verhindert Unstimmigkeit bezüglich der Laufzeit von Zertifikate. Einstellungen bezüglich der Zeitzone müssen entsprechend des Standortes vorgenommen werden. 7.1 Einrichtung des Remote Agents Für den Zugriff einer Secure ACS Appliance auf das Active Directory muss mindestens ein Remote Agent konfiguriert werden. Die Konfiguration weiterer Agents wird aus Verfügbarkeitsgründen dringend empfohlen. Die Einrichtung des Remote Agents wird unter dem Menüpunkt Network Configuration -> Remote Agents -> Add Entry vorgenommen: Definition Umsetzung Kontrolle 30

31 Abbildung 27: Hinzufügen eines Remote Agents Im nachfolgenden Dialog muss die IP Adresse des Remote Agents angegeben werden. Der Name sollte entsprechend der Namenskonvention gewählt werden. Mit Submit + Apply wird die Konfiguration gespeichert: Abbildung 28: Daten des Agents eintragen Im Menüpunkt External User Databases -> Database Configuration -> Windows Database -> Configure -> Windows Remote Agent Selection sollte abschließend eine Priorisierung der Remote Agent(s) vorgenommen werden. Wurde mehr als ein Agent konfiguriert, empfiehlt sich die Priorisierung nach geografischer Entfernung vorzunehmen. Mittels Submit muss die Konfiguration gespeichert werden: Definition Umsetzung Kontrolle 31

32 Abbildung 29: Priorisierung der Abfragereihenfolge der Remote Agents Definition Umsetzung Kontrolle 32

33 7.2 Import der PKI-Zertifikate in Secure ACS Im Secure ACS können Zertifikate der unternehmensinternen PKI-Umgebung, sowie Certificate Trust Einstellungen über das Menü System Configuration -> ACS Certificate Setup vorgenommen werden. Zunächst müssen im Untermenü ACS Certification Authority Setup die Zertifikate der PKI-Umgebung importiert werden. Auf der Secure ACS Appliance gibt es hierbei die Möglichkeit diese über das Web-Interface hochzuladen. Ist die Secure ACS Software auf einem Windows Server installiert, müssen die Zertifikate auf dieses System kopiert werden. Zum Importiert muss der vollständige Pfad und Name der Dateien angegeben werden. Abbildung 30: Importieren eines PKI Zertifikates im Windows basierten Secure ACS Nach erfolgreichem Import aller PKI-Zertifikate, müssen die Secure ACS Dienste neu gestartet werden. Dies geschieht im Menü System Configuration -> Service Control durch Anwahl des Buttons Restart Konfiguration der vertrauenswürdigen Zertifizierungsstellen Unter System Configuration -> ACS Certificate Setup muss im nächsten Schritt Edit Certificate Trust List gewählt werden, um die Liste der vertrauenswürdigen Zertifizierungsstellen anzupassen. Hierbei sollte nur jenen Zertifizierungsstellen ein Vertrauen ausgesprochen werden, die Zertifikate für die Umgebung signieren. Die Vertrauensstellung wird durch Aktivieren des Kästchens vor dem Namen konfiguriert. Definition Umsetzung Kontrolle 33

34 Abbildung 31: Festlegung der Vertrauensstellung für die eigene PKI Infrastruktur Abschließend müssen die Secure ACS Dienste über das Menü Service Control neu gestartet werden Konfiguration der Zertifikatssperrliste Der Netzwerkzugang einzelner Benutzer kann durch Zurückziehen des Benutzerzertifikats gesperrt werden. Hierzu prüft der Secure ACS das vom Client erhaltene Zertifikat gegen eine Zertifikatssperrliste. Die Verfügbarkeit der Sperrliste wird durch den Replikationsmechanismus im Active Directory gewährleistet. Die Veröffentlichung der Sperrliste im Active Directory findet auf einer Enterprise CA automatisch statt. Die Sperrlistenkonfigurationist im Secure ACS unter dem Menüpunkt System Configuration -> ACS Certificate Setup -> Certificate Revocation Lists zu finden. Die Konfiguration muss für die Sub CA vorgenommen werden. In die Zeile CRL Distribution URL muss eine LDAP-Adresse eingefügt werden. Diese basiert auf der LDAP-URL welche im Zertifikat als CDP angegeben ist. Sie enthält hiervon jedoch nur die Werte linksseitig des ersten Fragezeichens. Zwischen dem zweiten und dritten Schrägstrich muss die IP-Adresse des nächstgelegenen Global Catalog Servers/Domain Controllers inklusive Portnummer angegeben werden. Beispiel: ldap:// :3268/cn=subca01,cn=carootsub02,cn=cdp,cn=public%20key%20 Services,CN=Services,CN=Configuration,DC=caroot,DC=local) Der Haken CRL is in use muss gesetzt werden, und es sollte ein kleiner Zeitwert (beispielsweise 10 Minuten bis 1 Stunde) für Retrieve CRL gesetzt werden. Definition Umsetzung Kontrolle 34

35 Abbildung 32: Konfiguration des Zertifikatssperrlistenabrufs Durch Klicken auf den Submit Button werden die Änderungen gespeichert. Zur Prüfung ob der Abruf der Zertifikatssperrlisten erfolgreich verläuft, muss der Konfigurationsdialog erneut aufgerufen werden. In der Zeile Last retrieve date werden das Datum und der Status der letzten Abfrage angezeigt. 7.3 Anbindung des Secure ACS an das Active Directory Da der Secure ACS Identitäten verifiziert, welche im Active Directory hinterlegt sind, ist eine Konfiguration von AD-Paramenter notwendig. Hierzu dient das Menü External User Databases. In diesem ist die Konfiguration für die Unknown User Policy zu finden. Diese Policy definiert, wie Benutzer identifiziert werden können, deren Identität nicht im Secure ACS gespeichert wird. In der Policy muss die Option Check the following external user databases gesetzt werden, und in die externe Datenbank Windows Databases in die rechte Liste mit dem Namen Selected Databases aufgenommen werden. Diese Konfiguration wird durch Betätigen von Submit gespeichert. Definition Umsetzung Kontrolle 35

36 Abbildung 33: Die External User Database ist ein Windows AD Im nächsten Schritt müssen für die Windows Datenbank genaue Parameter konfiguriert werden. Dies geschieht im Menüpunkt Database Configuration durch Auswahl von Windows Database. Initial existiert keine Konfiguration, daher muss eine neue Konfiguration durch Auswahl von Configure angelegt werden. Abbildung 34: Anlegen einer neuen Windows Database Konfiguration Definition Umsetzung Kontrolle 36

37 Im Abschnitt Configure Domain List müssen alle Domänen ausgewählt werden, welche Benutzer/Computer enthalten die authentifiziert werden sollen. Abbildung 35: Hinzufügen der Domains Weiterhin muss die EAP-TLS Funktionalität im Abschnitt Windows EAP Settings aktiviert werden, bevor die Einstellungen über das Betätigen von Submit gespeichert werden. Abbildung 36: Aktivierung von EAP-TLS Authentifizierung für diese Datenbank Definition Umsetzung Kontrolle 37

38 Als letzter Schritt wird die Einbindung der Gruppen der Active Directory Domäne in den Secure ACS vorgenommen. Hierbei wird im Menü External User Databases -> Database Group Mappings der Punkt Windows Database gewählt. Im nachfolgenden Dialog werden alle bereits konfigurierten Domänen aufgelistet. Die neuen Domänen müssen über New configuration hinzugefügt werden. Im erscheinenden Dialog wird die gewünschte Domäne ausgewählt, und durch Betätigen von Submit hinzugefügt. Abbildung 37: Hinzufügen der Domäne 7.4 Ausstellung des Secure ACS-Zertifikates Nachfolgend wird der Prozess der Zertifikatsaustellung für die Secure ACS Appliance beschrieben. Das Zertifikat wird während der EAP-TLS Authentifizierung an den Client gesendet und ermöglicht so die Authentifzierung des Netzwerkes durch den Supplicant. Auf einem Windows basierten Secure ACS kann dieser Vorgang über das Web Enrollment Interface der Sub CA durchgeführt werden. Hierbei ist die in Abschnitt erstellte Vorlage zu verwenden. Im Dialog ACS Certificate Setup kann das erstellte Zertifikat aus der Select Certificate From Storage Liste ausgewählt werden. Weitere Konfigurationsschritte sind in diesem Szenario nicht durchzuführen. Das Austellen eines Zertifikates für eine Secure ACS Appliance ist aufwändiger und wird daher nachfolgend im Detail beschrieben. Unter dem Menüpunkt System Configuration -> ACS Certificate Setup -> Generate Certificate Signing Request kann ein Zertifikatsantrag erstellt werden. Das Feld Certificate Subject muss hierbei mit der Zeichenfolge cn= beginnen, und nachfolgend den Systemnamen der Appliance enthalten. Im Feld Private Key File muss eine Datei angegeben werden in welcher der private Schlüssel gespeichert wird. Dieser sollte mit einem Passwort gesichert werden. Als Parameter für Key Length und Digest to sign with ist aus Sicherheitsgründen minimal 2048 bits und SHA-1 zu wählen. Definition Umsetzung Kontrolle 38

39 Abbildung 38: Parameter für den Zertifikatsantrag Nach betätigen des Submit Buttons wird der Zertifikatsantrag erzeugt, und im rechten Frame angezeigt: Abbildung 39: Generierter Zertifikatsantrag Der gesamte Text des Zertifikatsantrages, inklusive der beiden BEGIN/END CERTIFICATE REQUEST Zeilen muss kopiert werden. Der Antrag kann an der Sub CA mittels Web Enrollment eingereicht werden. Hierzu muss im Internet Explorer die Seite aufgerufen werden. Nach Auswahl von Request a Advanced certificate request -> Submit a certificate request kann im erscheinenden Dialog der Text des Zertifikatsantrages eingefügt werden. Abschließen muss die in Abschnitt erzeugte Vorlage gewählt werden. Definition Umsetzung Kontrolle 39

40 Abbildung 40: Übermittlung der Zertifikatsantrages Entspricht das Zertifikat den Vorgaben der Vorlage, wird es automatisch signiert, und steht zum Download bereit. Beim Download des Zertifikats muss das Base64 Format gewählt werden, da andernfalls der Import des Zertifikats fehlschlägt: Abbildung 41: Download des signierten Zertifikats Zur Installation des Zertifikats muss dieses auf einen FTP Server kopiert werden, mit welchem der Secure ACS kommunizieren darf. In der Oberfläche des Secure ACS muss im Menü System Configuration -> ACS Certificate Setup -> Install ACS Certificate die Option Download certificate file gewählt werden. Im nachfolgenden Dialog werden die Zugangsdaten für den FTP-Download eingetragen. Definition Umsetzung Kontrolle 40

41 Abbildung 42: FTP Download Informationen Nach bestätigen durch den Submit Schaltknopf, wird die Datei heruntergeladen, und lokal auf dem Secure ACS gespeichert. Im folgenden Dialog muss im Feld Private key password das Passwort für den Zugriff auf den privaten Schlüssel des Zertifikats hinterlegt werden. Der Dialog wird mit Submit bestätigt. Abbildung 43: Kennwort für privaten Schlüssel konfigurieren Definition Umsetzung Kontrolle 41

42 Die korrekte Installation des Zertifikats wird durch den Secure ACS wie folgt angezeigt: Abbildung 44: Verifizieren der erfolgreichen Zertifikatsinstallation Zum Abschließen der Konfiguration müssen die Secure ACS Dienste neu gestartet werden. Dies geschieht im Menü System Configuration -> Service Control durch betätigen der Schaltfläche Restart. 7.5 Konfiguration EAP-TLS Im folgenden Abschnitt wird die Basis Konfiguration zum Betrieb von 802.1X mit dynamischer VLAN Zuordnung beschrieben. Wird letztere Funktion nicht benötigt, so können die im Abschnitt beschriebenen Schritte übersprungen werden Basis Konfiguration EAP-TLS In der Administrationsoberfläche des Secure ACS findet sich im Menü System Configuration -> Global Authentication Setup die Konfiguration der Authentifizierungsmethoden. Hier muss die EAP-TLS Option, inklusive der drei Comparison Methoden aktiviert werden. Weitere Authentifizierungsverfahren sollten, wenn möglich, durch Entfernen der entsprechenden Haken deaktiviert werden. Definition Umsetzung Kontrolle 42

43 Abbildung 45: Aktivierung von EAP-TLS Durch Klicken auf die Submit + Restart Schaltfläche werden die Änderungen aktiv Konfiguration von 802.1X VLAN-Zuordnung Zusätzlich zu einem erfolgreichen Authentifizierungsvorgang kann eine Zuweisung von authentifizierten Geräten zu einem spezifischen VLAN erfolgen. Das Prinzip sieht hierbei vor, dass die VLAN-Zugehörigkeit über Gruppen im Active Directory abgebildet werden. Es müssen daher für alle VLAN-IDs eine zugehörige Gruppe im Active Directory angelegt werden. Computer und/oder Benutzer können diesen Gruppen zugeordnet werden. Hierbei ist zu beachten, dass ein Computer/Benutzer jeweils nur Mitglied in einer dieser Gruppen sein darf. Andernfalls kann keine deterministische Zuordnung vorgenommen werden. Bei einer erfolgreichen Authentifizierung werden diese Gruppeninformationen für einen Computer/Benutzer durch den Secure ACS ausgelesen. ACS-intern kann ein Mapping von Windows-Gruppen auf ACS-Gruppen konfiguriert werden. Hierbei wird in den ACS-Gruppen die VLAN Zugehörigkeit hinterlegt. Im Folgenden wird die Secure ACS spezifische Konfiguration dieses Mechanismus beschrieben. Auf die Einrichtung der Active Directory Gruppen wird nicht näher eingegangen Anlegen einer Secure ACS-Gruppe Das Anlegen von Secure ACS-Gruppen erfolgt im Menü Group Configuration. Hier muss die entsprechende Gruppe ausgewählt werden, mittels Edit Settings können die Einstellungen angepasst werden. Bei dieser Anpassung müssen drei Radius-Attribute festgelegt werden. Dies sind die Attribute 64, 65 und 81. Die Werte von 64 und 65 sind für alle Gruppen auf VLAN und 802 zu konfigurieren. In Attribut 81 wird die VLAN Zugehörigkeit durch Angabe der entsprechenden VLAN-ID konfiguriert. Definition Umsetzung Kontrolle 43

44 Abbildung 46: Konfiguration der VLAN Zugehörigkeit einer Secure ACS Gruppe Die Konfiguration wird mit Submit + Restart aktiv Zuordnung einer Windows Active Directory Gruppe zu einer Secure ACS Gruppe Im Konfigurationsmenü unter External User Databases -> Database Group Mappings muss die entsprechende Domäne ausgewählt werden, in welcher die Active Directory Gruppen liegen. Im Beispielsfall sei dies \LOCAL. Abbildung 47: Auswahl der AD-Domäne Definition Umsetzung Kontrolle 44

45 Im nachfolgenden Dialog kann durch Auswahl einer bestehenden Zuordnung diese geändert werden, oder durch Auswahl von Add mapping eine neue Zuordnung hinzugefügt werden. Im erscheinenden Dialog kann jetzt eine (oder mehrere) Gruppen(n) ausgewählt werden, und mittels des Button Add to selected der Liste der Active-Directory Gruppen hinzugefügt werden. Unterhalb ist die Auswahlliste der Secure ACS Gruppe zu finden. Einer ACS-Gruppe können mehrere AD-Gruppen zugeordnet werden. Die umgekehrte mehrfache Zuordnung ist nicht möglich. Abbildung 48: Erstellen einer AD zu ACS Gruppenzuordnung 7.6 Konfiguration MAC Authentication Bypass MAC Authentication Bypass authentifiziert nicht-802.1x fähige Geräte mittels ihrer MAC- Adresse. Hierbei wird die Absenderadresse durch den Switch aus dem ersten Packet ausgelesen, und als Authentifizierungsdaten an den Secure ACS gesendet. Kann dieser die Daten erfolgreich gegen seine interne Datenbank verifizieren, wird der Zugang für das Gerät zum Netzwerk gewährt. Hierbei kann eine vorkonfigurierte dynamische VLAN-Zuordnung stattfinden. Für jedes über MAB zu authentifizierende Gerät muss ein Benutzer auf dem Secure ACS angelegt werden. Der Benutzername entspricht der Mac-Adresse des Gerätes ohne Trennzeichen. Definition Umsetzung Kontrolle 45

46 Abbildung 49: Anlegen eines MAB Gerätes als Benutzer im Secure ACS In den Eigenschaften des neu angelegten Benutzers wird nun das Passwort festgelegt. Dieses muss identisch mit dem Benutzernamen sein, andernfalls schlägt die Authentifizierung fehl. Abbildung 50: Konfiguration des Kennworts für MAB Soll für das konfigurierte Gerät eine VLAN-Zuordnung hinterlegt werden, kann diese durch die Zugehörigkeit des Benutzers zu einer Secure ACS Gruppe konfiguriert werden. Innerhalb dieser Gruppe ist die VLAN-ID hinterlegt, welche dem authentifizierten Switchport zugewiesen wird. Definition Umsetzung Kontrolle 46

47 Abbildung 51: Festlegung des VLANs über die ACS Gruppe 8 KONFIGURATION DER SWITCHE Im folgenden Abschnitt werden die Konfigurationsschritte für die Einrichtung der 802.1X Switche beschrieben. Die Aufteilung in thematische Kapitel ermöglicht eine einfache Auslassung von Konfigurationsschritten, die aus Lesersicht nicht erforderlich sind X Basis Konfiguration Der Switch vermittelt während des Authentifizierungsvorgangs Informationen zwischen dem EAPoL- und dem Radius-Protokoll. Daher benötigt er eine entsprechende Basiskonfiguration die angibt welcher Radius-Server verwendet werden soll. Des Weiteren aktiviert die nachstehende Konfiguration die 802.1X Funktionen. Zunächst wird im globalen Konfigurationsmodus die Radius-Server Konfiguration vorgenommen. switch(config)#aaa new-model switch(config)#aaa authentication dot1x default group radius switch(config)#aaa authorization network default group radius switch(config)#radius-server host <RADIUS_IP>auth-port 1812 acctport 1646 test username admin ignore-auth-port idle-time 2 key <RADIUS_PASSWORT> switch(config)#radius-server vsa send accounting switch(config)#radius-server vsa send authentication switch(config)#dot1x system-auth-control Des Weiteren müssen Ports die 802.1X basierte Authentifizierung durchführen sollen wie folgt konfiguriert werden: switch(config-if)#switchport mode access vlan <VLAN_NUMBER> switch(config-if)#switchport mode access switch(config-if)#dot1x port-control-auto switch(config-if)#dot1x pae authenticator Hierbei verweist <VLAN_NUMBER> auf das VLAN in welchem der Port nach erfolgreicher Authentifizierung aufgenommen sein soll, wenn keine VLAN-Zuordnung durch den Secure ACS stattfindet. Definition Umsetzung Kontrolle 47

48 8.1.1 Anlegen des RADIUS-Clients Auf Secure ACS Seite muss jeder Switch durch das Erstellen eines AAA-Clients bekannt gemacht werden. Dies geschieht im Menü Network Configuration. Gegebenenfalls muss hier zunächst die Network Device Group ausgewählt werden, zu welcher der Switch zugeordnet ist. Unterhalb der Liste der AAA-Clients kann mittels Add Entry das Formular zur Erstellung eines neuen AAA-Clients aufgerufen werden. In diesem muss ein Name, die IP-Adresse und das zuvor auf dem Switch konfigurierte Radius-Passwort angegeben werden. Im Menü Authenticate Using muss RADIUS (IETF) ausgewählt werden. Abbildung 52: Anlegen eines neuen AAA-Clients 8.2 Konfiguration MAC Authentication Bypass Zur Aktivierung von MAB muss auf den Switches folgende Einstellung vorgenommen werden. Diese Einstellung ist auf jedem Port, welcher Geräte über MAC Authentication Bypass authentifizieren soll, vorzunehmen: switch(config-if)# mab 8.3 Konfiguration Wake-on-LAN In der Basiskonfiguration lässt ein 802.1X konfigurierter Port nur EAPoL-, STP- und CDP-Pakete passieren, bis eine erfolgreiche Authentifizierung stattgefunden hat. Wird beispielsweise für die Softwareverteilung Wake On LAN (WoL) genutzt, muss diese zusätzliche Funktion auf dem 802.1X Switchport aktiviert werden. Hierzu wird die Kontrollrichtung des unauthorisierten Ports verändert. Die Standardeinstellung sieht vor, dass Datenpakete, bis auf die oben genannten Ausnahmen, in beide Richtungen blockiert werden. Mit Hilfe des Kommandos dot1x control-direction lässt sich die Sperrrichtung explizit konfigurieren. Wird diese lediglich auf in konfiguriert, so ist die Nutzung von WoL möglich: Definition Umsetzung Kontrolle 48

49 switch(config-if)#dot1x control-direction in 8.4 Konfiguration des PXE Wird im Netzwerk Preboot Execution Environment (PXE) genutzt, müssen die Timeout Parameter, nach deren Ablauf MAC Authentication Bypass greift, angepasst werden. Andernfalls bricht der PXE Boot Manager des Computers mit einem Timeout ab. In den Standardeinstellungen beläuft sich der Timeout auf insgesamt 90 Sekunden. Es werden bis zum Abbruch 3 Authentifizierungsversuche mit jeweils 30 Sekunden Timeout durchgeführt. Mit den folgenden Einstellungen wird der Timeout auf 2 Authentifizierungsversuche mit je 10 Sekunden Timeout reduziert: switch(config-if)#dot1x timeout tx-period 10 switch(config-if)#dot1x max-reauth-req Konfiguration des Guest-VLANs Die Guest-VLAN Funktionalität gewährleistet, das nicht 802.1X fähige Geräte, deren Mac- Adressen nicht im Cisco Secure ACS eingetragen ist (z.b. Kunden die ihren Laptop an das Netzwerk anschließen), einem bestimmten VLAN (hier VLAN 200) zugewiesen werden. switch(config-if)#dot1x guest-vlan Konfiguration des Auth-Fail VLANs Mit dieser Konfiguration wird sichergestellt dass Clients, deren Authentifizierung fehlgeschlagen ist (z.b. bei zurückgezogenem Zertifikat), einem bestimmten VLAN zugewiesen werden. Dies ist erwünscht, damit zu diesen Clients Verbindungen im Rahmen eines Supportvorganges hergestellt werden können. So können diese z.b. mit einem neuen Zertifikat ausgestattet werden. switch(config-if)#dot1x auth-fail vlan 200 switch(config-if)#dot1x auth-fail max-attempts 2 switch(config-if)#dot1x reauthentication 8.7 Konfiguration von Inaccessible Authentication Bypass Inaccessible Authentication Bypass ermöglicht die erfolgreiche Authentifizierung von Benutzern/Computern falls der Secure ACS nicht verfügbar sein sollte. Hierbei findet eine Zuordnung in ein spezielles VLAN statt. Ist der Secure ACS wieder verfügbar reauthentifiziert der Switch die Geräte und ordnet sie dem entsprechenden VLAN zu. Damit der Switch in einem definierbaren Intervall die Erreichbarkeit des Secure ACS überprüfen kann, muss die in Abschnitt 8.1 vorgestellte RADIUS Konfiguration vollständig vorgenommen sein. Mit diesen Einstellungen überprüft der Switch alle 2 Minuten ob der Secure ACS erreichbar ist. Der Switch verwendet dazu einen lokal (auf dem Switch) konfigurierten Benutzernamen. Der Switch sendet hierzu einen Access-Request an den Secure ACS Server. Da der angegebene Benutzername nicht in der Datenbank des Secure ACS vorhanden ist antwortet dieser mit einem Access-Reject. Hierdurch weiss der Switch, dass der Secure ACS erreichbar ist und markiert diesen als alive. Das Anlegen eines passenden Benutzers auf dem Secure ACS ist weder nötig noch möglich. Wenn der Secure ACS Server als dead (derzeit nicht erreichbar) markiert wurde, muss die Zeitspanne konfiguriert werden, in welchen Abständen der Switch versucht ihn wieder zu erreichen. Dies wird mit folgendem Kommando realisiert: Definition Umsetzung Kontrolle 49

50 switch(config)#radius-server deadtime 2 Mit diesem Befehl versucht der Switch alle 2 Minuten den Secure ACS zu erreichen, wenn dieser zuvor als dead markiert wurde. Für den Fall, dass der Switch den Secure ACS nicht mehr erreichen kann, ist es notwendig ein VLAN zu definieren in welches die betroffenen Ports aufgenommen werden. Dies muss auf Port Basis konfiguriert werden, mit dem folgenden Befehl switch(config-if)#authentication event server dead action authorize vlan 250 Soll die Authentifizierung durchgeführt werden, sobald der Secure ACS wieder erreichbar ist, muss das folgende Kommando auf Port Basis konfiguriert werden. switch(config-if)#authentication event server alive action reinitialize Wenn ein Port im critical state authentifiziert wurde, ist es sinnvoll den Switch so zu konfigurieren, dass dieser eine EAP-Success Nachricht an den 802.1X Supplicant verschickt. Dies wird im globalen Konfigurationskontext mit folgendem Befehl konfiguriert werden: switch(config)#dot1x critical eapol 9 KONFIGURATION DER CLIENT PCS Die Konfiguration der Client PCs erfordert, dass Windows XP ab Service Pack 3 installiert ist. Bei 64bit Windows XP Systemen enthält ein vollständig gepatchtes System ebenfalls alle nötigen Updates für die korrekte Funktionalität des 802.1X Supplicant. Zunächst muss sichergestellt werden, dass der Dienst dot3svc bei Systemstart automatisch gestartet wird. Dieser ist für die 802.1X Anmeldung für kabelgebundene Netzwerke notwendig. Im Reiter Authentifizierung der Eigenschaften der LAN-Verbindung wird die 802.1X Konfiguration vorgenommen. Hierzu ist es notwendig diese zu zunächst zu aktivieren, und als Methode Smartcard oder anderes Zertifikat auszuwählen. Unter Einstellungen lassen sich nun die EAP-TLS Eigenschaften hinterlegen. Hierbei muss darauf geachtet werden, dass folgende Einstellungen vorgenommen wurden: Zertifikat auf diesem Computer verwenden muss gewählt werden, wobei der Haken für Einfache Zertifikatsauswahl verwenden nicht gesetzt werden sollte Serverzertifikat überprüfen muss aktiviert werden, andernfalls wird das Zertifikat des Secure ACS nicht geprüft Die Option Verbindung mit diesem Server herstellen ermöglicht die explizite Angabe der Secure ACS DNS-Namen. Die Hinterlegung dieser im Profil verhindert Man-In-The-Middle Angriffe gegen den Client In der Liste Vertrauenswürdige Stammzertifizierungsstellen muss der eigenen PKI- Umgebung das Vertrauen ausgesprochen werden. Werden nur Zertifikate aus der eigenen PKI-Umgebung für die Secure ACS Server eingesetzt, so sollte geprüft werden, dass allen weiteren PKIs das Vertrauen, durch Entfernen des Hakens, entzogen wurde. Definition Umsetzung Kontrolle 50

51 Abbildung 53: Konfiguration des 802.1X Supplicant auf Windows XP Eine globale Konfiguration dieser Eigenschaften kann mittels GPO ausgerollt werden TROUBLESHOOTING Der folgende Abschnitt beschreibt die wichtigsten Troubleshooting Prozesse, welche im Betrieb von 802.1X mit Zertifikaten auftreten können Sperrung von Benutzer- oder Computer-Zertifikaten Die Sperrung von Zertifikaten kann aus unterschiedlichen Gründen erfolgen: Computer/Benutzer scheidet aus Umgebung aus Benutzer tritt längerfristigen Urlaub an Notebook des Benutzers wird gestohlen Verdacht auf Kompromittierung des privaten Schlüssel Die Sperrung von Zertifikaten kann im MMC SnapIn Certificate Authority der ausstellenden Zertifizierungsstelle vorgenommen werden. Hierbei sollte das zu sperrende Zertifikat immer über seine Seriennummer identifiziert werden, da dieses eine eindeutige Identifizierung ermöglicht: 10 Unter folgender Adresse ist eine ausführliche Dokumentation zur Vorgehensweise zu finden: Definition Umsetzung Kontrolle 51

52 Abbildung 54: Liste der ausgestellten Zertifikate Wurde das Zertifikat identifiziert, muss im Kontextmenü unter All Tasks -> Revoke Certificate das Zertifikat gesperrt werden: Abbildung 55: Zertifikat sperren Im nachfolgenden Dialog werden der Grund für die Sperrung, sowie der Zeitpunkt der Sperrung angegeben: Abbildung 56: Grund und Zeitpunkt der Zertifikatssperrung Definition Umsetzung Kontrolle 52

53 Es steht eine Reihe von Gründen zur Verfügung, aufgrund derer ein Zertifikat gesperrt werden kann. Soll ein Zertifikat nur für einen bestimmten Zeitraum gesperrt werden, muss als Grund Certificate Hold gewählt werden. Andere Gründe können je nach Szenario passend gewählt werden: Abbildung 57: Listing der Sperrgründe für Zertifikate Ist das Zertifikat gesperrt worden, muss die Zertifikatssperrliste neu veröffentlicht werden. Andernfalls ist die Sperrung erst gültig, nach Ablauf der Gültigkeit der aktuellen Sperrliste. Im Kontextmenü der Liste Revoked Certificates kann die Generierung der Liste durch Auswahl von All Tasks -> Publish gewählt werden: Abbildung 58: Erzeugen einer neuen Zertifikatssperrliste Im nachfolgenden Dialog muss New CRL ausgewählt werden da die Secure ACS Appliance keine Delta-Sperrlisten verarbeiten kann 11 : Abbildung 59: Eine neue Sperrliste wird erzeugt 11 Delta-Sperrlisten beschreiben lediglich die Veränderungen innerhalb der Zertifikatssperrliste seit der Veröffentlichung der letzten vollständigen, oder Delta-Sperrliste. Definition Umsetzung Kontrolle 53

54 Nach Bestätigung des OK Buttons wird die neue Sperrliste generiert und automatisch im Active Directory veröffentlicht. Weitere Schritte sind nicht notwendig, da der Secure ACS die aktuelle Sperrliste via LDAP aus dem Active-Directory herunterlädt, und somit automatisch über die aktuellste Version verfügt Ausrollen neuer Benutzer-/Computer-Zertifikate Das Ausrollen neuer Zertifikate kann unter einer Reihe von Umständen nötig sein. Beispielsweise wenn eine Aktualisierung der Zertifikatsvorlage vorgenommen wurde oder das Zertifikat der signierenden CA getauscht wurde. Hierzu kann die Funktion Reenroll All Certifcate Holders genutzt werden. Diese findet sich im Server Manager der signierenden Zertifizierungsstelle, unter Active-Directory Certificate Services. Nach Auswahl des entsprechenden Templates ist die Aktion im Kontextmenü zu finden: Abbildung 60: Erneutes Ausrollen aller Zertifikate einer Vorlage 10.3 Keine gültigen Zertifikate zur Authentifizierung vorhanden Existiert auf einem zu authentifizierenden System kein gültiges Computerzertifikat, kann dies dazu führen, dass sich Benutzer nicht am Netzwerk authentifizieren kann. Hintergrund ist, dass der für die Benutzerauthentifizierung benötigte Schlüssel aufgrund von Credential Roaming im Active Directory befindet, und hierauf nicht zugegriffen werden kann. Dieser Fehlerfall lässt sich durch kurzfristige Aufnahme der Mac-Adresse des betroffenen Computers, in die Liste der Geräte die mit MAC Authentication Bypass authentifiziert werden, lösen. Hierzu wird im Secure ACS ein Benutzer angelegt, dessen Name und Kennwort der Mac- Adresse des Computers entsprechen. Während der Anlegung des Nutzers, muss auf die Angabe der korrekten Secure ACS Gruppe geachtet werden, damit der Computer einem VLAN zugeordnet wird, in welchem er ein neues Zertifikat beantragen kann. Definition Umsetzung Kontrolle 54

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Knowlegde Guide Wien, Februar 2004 INHALT Für den Test von zertifikatsbasierten Anwendungen in einer Windowsumgebung benötigt

Mehr

Arbeitskreis Security

Arbeitskreis Security Arbeitskreis Security Positionspapier IEEE 802.1X BGNW Herbsttagung, 25. November 2005 Inhalt IEEE 802.1X im Überblick Problembereiche Standpunkt 1 Status von IEEE 802.1X Grundprinzip von IEEE 802.1X Dem

Mehr

Zertifikate Radius 50

Zertifikate Radius 50 Herstellen einer Wirelessverbindung mit Zertifikat über einen ZyAIR G-1000 Access Point und einen Radius 50 Server Die nachfolgende Anleitung beschreibt, wie eine ZyWALL Vantage RADIUS 50 in ein WLAN zur

Mehr

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Switching. Übung 9 EAP 802.1x. 9.1 Szenario Übung 9 EAP 802.1x 9.1 Szenario In der folgenden Übung konfigurieren Sie eine portbasierte Zugangskontrolle mit 802.1x. Den Host 1 haben Sie an Port 2 angeschlossen, der eine Authentifizierung vor der

Mehr

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Unterrichtseinheit 5: Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure) Verschlüsselung mit öffentlichen Schlüsseln ist eine bedeutende Technologie für E- Commerce, Intranets,

Mehr

Wireless & Management

Wireless & Management 4. Access Point (WPA2 - Enterprise 802.1x) 4.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Mode gezeigt. Zur Absicherung der Daten, Generierung der Schlüssel für die Verschlüsselung

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 15.07.2013 Dokumentenart: Anwenderbeschreibung Version: 3.2 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...

Mehr

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12) 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows 7 Rechner zum bintec IPSec-Gateway

Mehr

Black Box erklärt: Sicherheit nach IEEE 802.1x?

Black Box erklärt: Sicherheit nach IEEE 802.1x? Black Box erklärt: Sicherheit nach IEEE 802.1x? Bei Wireless LAN Netzwerken kennt jeder die Gefahr einer unbefugten Benutzung der Daten im Netzwerk durch Fremde. Aus diesem Grund gibt es in diesem Bereich

Mehr

PKI-Lösungen in Windows-Netzwerken

PKI-Lösungen in Windows-Netzwerken Döres AG Stolberger Straße 78 50933 Köln Telefon: 0221-95 44 85-0 Telefax: 0221-95 44 85-80 Internet: www.doeres.com PKI-Lösungen in Windows-Netzwerken Agenda: I. zur Thema Windows PKI: Vorstellung einer

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

HowTo: Einrichtung des Captive Portal am DWC-1000

HowTo: Einrichtung des Captive Portal am DWC-1000 HowTo: Einrichtung des Captive Portal am DWC-1000 [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3B301 und höher 2. Kompatibler AP mit aktueller Firmware 4.1.0.11 und höher (DWL-8600AP, DWL-

Mehr

Zertifikatssperrliste(n) in Active Directory veröffentlichen

Zertifikatssperrliste(n) in Active Directory veröffentlichen [Geben Sie Text ein] Zertifikatssperrliste(n) in Active Directory veröffentlichen Zertifikatssperrliste(n) in Active Directory veröffentlichen Inhalt Zertifikatssperrliste(n) in Active Directory veröffentlichen...

Mehr

Konfiguration von Clients zur Kommunikation mit einem SUS-Server

Konfiguration von Clients zur Kommunikation mit einem SUS-Server Konfiguration von Clients zur Kommunikation mit einem SUS-Server Allgemeine Informationen Damit sich der Autoupdate-Client die Updates vom lokalen SUS-Server abholt, muss in seiner Registry die korrekten

Mehr

estos XMPP Proxy 5.1.30.33611

estos XMPP Proxy 5.1.30.33611 estos XMPP Proxy 5.1.30.33611 1 Willkommen zum estos XMPP Proxy... 4 1.1 WAN Einstellungen... 4 1.2 LAN Einstellungen... 5 1.3 Konfiguration des Zertifikats... 6 1.4 Diagnose... 6 1.5 Proxy Dienst... 7

Mehr

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW

Secure Socket Layer (SSL) 1: Allgemeiner Überblick. Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Secure Socket Layer (SSL) Gilt für die Geräte: HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Inhalt 1) Allgemeiner Überblick 2) Kurzer geschichtlicher Rückblick 3) Vorteile

Mehr

Windows-Firewall Ausnahmen

Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen für Docusnap konfigurieren Datum 29.04.2010 Ersteller Seitenanzahl 24 Inhaltverzeichnis 1 Windows Firewall Konfiguration - Grundlagen... 3 1.1

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 1. Access Point im Personal Mode (WEP / WPA / WPA2) 1.1 Einleitung Im Folgenden wird die Konfiguration des Access Point Modus gezeigt. Zur Absicherung der Daten werden die verschiedenen Verschlüsselungsalgorithmen

Mehr

LDAP Integration. Menüpunkt: System > Time To Do: Die Uhzeit/Zeitzone der SonicWALL mit dem AD-Server abgleichen

LDAP Integration. Menüpunkt: System > Time To Do: Die Uhzeit/Zeitzone der SonicWALL mit dem AD-Server abgleichen LDAP Integration Firewall Betriebessystem: alle Versionen Erstellungsdatum: 29.11.2010 Letzte Änderung: 29.11.2010 Benötigte Konfigurationszeit: ca. 10 Minuten Vorraussetzungen: per LDAP abfragbarer Server

Mehr

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1

WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 WINDOWS ÜBERWACHEN MIT NETCRUNCH 7 S E I T E 1 NetCrunch 7 kann Systeme mit Microsoft Windows ohne die Installation von Agenten überwachen. Aufgrund von weitreichenden Sicherheitsvorkehrungen ist es jedoch

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Siemens Mitarbeiter) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

Aus diesem Grund unterscheidet sich dieser Artikel etwas von der erfolgreichen Reihe der Step-by-Step Anleitungen auf www.msisafaq.de.

Aus diesem Grund unterscheidet sich dieser Artikel etwas von der erfolgreichen Reihe der Step-by-Step Anleitungen auf www.msisafaq.de. Seite 1 von 19 ISA Server 2004 ISA Server 2004 Zertifikatmanagement - Von Marc Grote -------------------------------------------------------------------------------- Die Informationen in diesem Artikel

Mehr

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

Zertifikate Exchange Server / WLAN. Referent: Marc Grote Zertifikate Exchange Server / WLAN Referent: Marc Grote Agenda Verwendungszweck von Zertifikaten Krytografiegrundlagen Symmetrische / Asymmetrische Verschluesselungsverfahren Windows Zertifizierungsstellen

Mehr

Die Informationen in diesem Artikel beziehen sich auf: Einleitung

Die Informationen in diesem Artikel beziehen sich auf: Einleitung Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Der ISA 2004 bietet als erste Firewall Lösung von Microsoft die Möglichkeit, eine Benutzer Authentifizierung

Mehr

Installationscheckliste Pervasive Server Engine Version 7.94, Stand 16.10.2012

Installationscheckliste Pervasive Server Engine Version 7.94, Stand 16.10.2012 Installationscheckliste Pervasive Server Engine Version 7.94, Stand 16.10.2012 Pervasive Server Engine Checkliste für die Neuinstallation in einem Windows-Netzwerk Bitte prüfen Sie auf unseren Webseiten

Mehr

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration...

1. Wireless Switching... 2. 1.1 Einleitung... 2. 1.2 Voraussetzungen... 2. 1.3 Konfiguration... 2. 2. Wireless Switch Konfiguration... Inhaltsverzeichnis 1. Wireless Switching... 2 1.1 Einleitung... 2 1.2 Voraussetzungen... 2 1.3 Konfiguration... 2 2. Wireless Switch Konfiguration... 3 2.1 Zugriff auf den Switch... 3 2.2 IP Adresse ändern...

Mehr

HOWTO: Sonicwall SSL-VPN und SafeWord Authentifizierung

HOWTO: Sonicwall SSL-VPN und SafeWord Authentifizierung HOWTO: Sonicwall SSL-VPN und SafeWord Authentifizierung Windows Server 2008 05.01.2009 ADN Distribution GmbH Maik Steppeler HOWTO: Sonicwall SSL-VPN und Safeword Authentifizierung (Windows Server 2008)

Mehr

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.

Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3. Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8. Collax Business Server NCP Secure Entry Client Interoperability Guide V. 1.3 Collax Business Server (V. 3.0.12) NCP Secure Entry Client 8.21 Dies ist eine Anleitung, die die Konfigurationsschritte beschreibt,

Mehr

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de

IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping. von Thorsten Dahm 08.06.2006 t.dahm@resolution.de IEEE 802.1x, Dynamic ARP Inspection und DHCP Snooping von Thorsten Dahm 08.06.2006 t.dahm@resolution.de 1) Was Euch hier erwartet 1) Was ist 802.1x Wozu braucht man's? Möglichkeiten Artenreichtum: Authentifizierung

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 13. Secure Socket Layer (SSL) VPN 13.1 Einleitung Sie konfigurieren das Feature SSL VPN für den Zugriff eines Clients auf das Firmennetzwerk. Die UTM in der Zetrale stellt Zertifikate für die VPN Clients

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Vorab: Anlegen eines Users mit Hilfe der Empfängerbetreuung

Vorab: Anlegen eines Users mit Hilfe der Empfängerbetreuung Seite 1 Einrichtung der Verschlüsselung für Signaturportal Verschlüsselung wird mit Hilfe von sogenannten Zertifikaten erreicht. Diese ermöglichen eine sichere Kommunikation zwischen Ihnen und dem Signaturportal.

Mehr

Installationsanleitung für die h_da Zertifikate

Installationsanleitung für die h_da Zertifikate Zentrale Serverdienste Installationsanleitung für die h_da Zertifikate Dokumentennummer: IT-ZSD-008 Version 1.3 Stand 23.05.2013 Historie Version Datum Änderung Autor 1.0 22.10.2008 Dokument angelegt tbo

Mehr

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation

bnsyncservice Installation und Konfiguration bnnetserverdienst Voraussetzungen: KWP Informationssysteme GmbH Technische Dokumentation bnsyncservice Voraussetzungen: Tobit DAVID Version 12, DVWIN32: 12.00a.4147, DVAPI: 12.00a.0363 Exchange Server (Microsoft Online Services) Grundsätzlich wird von Seiten KWP ausschließlich die CLOUD-Lösung

Mehr

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL Authentication Policy Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Juni 2010 / HAL LOKALE USER DATENBANK Über Authentication Policy verknüpft man ZyWALL-Dienste und Benutzer so, dass die Nutzung der Dienste

Mehr

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub

1 Praktikum Protokolle SS2007 Fachhochschule OOW 15.05.2007. VPN Dokumentation. Erstellt von: Jens Nintemann und Maik Straub 1 Praktikum Protokolle SS2007 Fachhochschule OOW VPN Dokumentation 1 2 Praktikum Protokolle SS2007 Fachhochschule OOW Inhaltsverzeichnis Thema Seite 1. Einleitung 3 2. Unsere Aufbaustruktur 3 3. Installation

Mehr

Projektmanagement in Outlook integriert

Projektmanagement in Outlook integriert y Projektmanagement in Outlook integriert InLoox PM 8.x Installation via Gruppenrichtlinie Ein InLoox Whitepaper Veröffentlicht: Juli 2014 Aktuelle Informationen finden Sie unter http://www.inloox.de Die

Mehr

TimePunch SQL Server Datenbank Setup

TimePunch SQL Server Datenbank Setup TimePunch TimePunch SQL Server Datenbank Setup Benutzerhandbuch 26.11.2013 TimePunch KG, Wormser Str. 37, 68642 Bürstadt Dokumenten Information: Dokumenten-Name Benutzerhandbuch, TimePunch SQL Server Datenbank

Mehr

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH www.docusnap.com Inhaltsverzeichnis 1 Windows Firewall Konfiguration - Grundlagen 3 1.1 Übersicht - benötige Firewall Ausnahmen 3 2 Windows

Mehr

Projektmanagement in Outlook integriert

Projektmanagement in Outlook integriert y Projektmanagement in Outlook integriert InLoox 6.x Installation via Gruppenrichtlinie Ein InLoox Whitepaper Veröffentlicht: Februar 2011 Aktuelle Informationen finden Sie unter http://www.inloox.de Die

Mehr

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen

Mastervorlage zur Gestaltung von PowerPoint-Präsentationen 802.1x in der Praxis Mastervorlage zur Gestaltung von PowerPoint-Präsentationen DI (FH) Michael Perfler DI (FH) Bernhard Mitterer Kapsch BusinessCom AG Kapsch BusinessCom AG 1 Agenda Einleitung Protokolle

Mehr

SSL/TLS und SSL-Zertifikate

SSL/TLS und SSL-Zertifikate SSL/TLS und SSL-Zertifikate Konzepte von Betriebssystem-Komponenten Informatik Lehrstuhl 4 16.06.10 KvBK Wolfgang Hüttenhofer sethur_blackcoat@web.de Motivation Sichere, verschlüsselte End-to-End Verbindung

Mehr

Installation und Dokumentation. juris Autologon 3.1

Installation und Dokumentation. juris Autologon 3.1 Installation und Dokumentation juris Autologon 3.1 Inhaltsverzeichnis: 1. Allgemeines 3 2. Installation Einzelplatz 3 3. Installation Netzwerk 3 3.1 Konfiguration Netzwerk 3 3.1.1 Die Autologon.ini 3 3.1.2

Mehr

Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren

Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren [Geben Sie Text ein] Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren Inhalt Active Directory-Zertifikatdienst

Mehr

OFTP2 - Checkliste für die Implementierung

OFTP2 - Checkliste für die Implementierung connect. move. share. Whitepaper OFTP2 - Checkliste für die Implementierung Die reibungslose Integration des neuen Odette-Standards OFTP2 in den Datenaustausch- Workflow setzt einige Anpassungen der Systemumgebung

Mehr

Howto. Konfiguration eines Adobe Document Services

Howto. Konfiguration eines Adobe Document Services Howto Konfiguration eines Adobe Document Services (ADS) Inhaltsverzeichnis: 1 SYSTEMUMGEBUNG... 3 2 TECHNISCHE VERBINDUNGEN ZWISCHEN DEN SYSTEMEN... 3 2.1 PDF BASIERENDE FORMULARE IN DER ABAP UMGEBUNG...

Mehr

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2

Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe. Dokumentversion: 1.0.2 Mitglied der: KNX Association OPC Foundation BACnet Interest Group Europe Dokumentversion: 1.0.2 Inhaltsverzeichnis 1. System Überblick 4 2. Windows Firewall Konfiguration 5 2.1. Erlauben von DCOM Kommunikation

Mehr

Benutzeranleitung Outlook konfigurieren

Benutzeranleitung Outlook konfigurieren Version 1.3 Stand 06/2012 t Benutzeranleitung Outlook konfigurieren DB Systel Inhaltsverzeichnis 1 Einleitung und allgemeine Hinweise 3 2 Auto Account Setup 4 2.1 Schritt 1: Starte Outlook 4 2.2 Schritt

Mehr

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen: 1. IPSec Verbindung zwischen IPSec Client und Gateway 1.1 Einleitung Im Folgenden wird die Konfiguration einer IPSec Verbindung vom Bintec IPSec Client zum Gateway gezeigt. Dabei spielt es keine Rolle,

Mehr

Anleitung für Konfiguration von eduroam unter Windows XP

Anleitung für Konfiguration von eduroam unter Windows XP Anleitung für Konfiguration von eduroam unter Windows XP Die folgenden Voraussetzungen müssen erfüllt sein, damit der Netzwerkzugang mit eduroam konfiguriert werden kann: Gültiger Benutzeraccount der Universität

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server... 3 1 Konfiguration der Radius Authentifizierung auf einem Windows 2003

Mehr

Softwareverteilung mit Gruppenrichtlinien 03.01.2007

Softwareverteilung mit Gruppenrichtlinien 03.01.2007 Softwareverteilung mit Gruppenrichtlinien Mit dieser Dokumentation möchte ich zeigen wie einfach man im ActiveDirectory Software mithilfe von Gruppenrichtlinien verteilen kann. Ich werde es hier am Beispiel

Mehr

Astaro Mail Archiving Getting Started Guide

Astaro Mail Archiving Getting Started Guide Connect With Confidence Astaro Mail Archiving Getting Started Guide Über diesen Getting Started Guide Der Astaro Mail Archiving Service stellt eine Archivierungsplattform dar, die komplett als Hosted Service

Mehr

Anlage 3 Verfahrensbeschreibung

Anlage 3 Verfahrensbeschreibung Anlage 3 Verfahrensbeschreibung Stand September 2015 1 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 SYSTEMVORAUSSETZUNGEN... 3 2.1 Technische Voraussetzung beim Kunden... 3 2.2 Ausstattung des Clients... 3 3

Mehr

JobServer Installationsanleitung 08.05.2013

JobServer Installationsanleitung 08.05.2013 JobServer sanleitung 08.05.2013 Der JobServer ist ein WCF Dienst zum Hosten von Workflow Prozessen auf Basis der Windows Workflow Foundation. Für die wird das Microsoft.NET Framework 3.5 und 4.0 vorausgesetzt.

Mehr

Installationsanleitung

Installationsanleitung 1 Inhalt 1 Inhalt 1 2 Sicherheitshinweise 2 2.1 Allgemeine Richtlinien und Empfehlungen 2 2.2 Allgemeine Sicherheitskriterien 2 3 Zugriffsmöglichkeiten 3 3.1 Browserbasierte Zugriffe auf Dienste im BVN

Mehr

Installation einer Enterprise PKI

Installation einer Enterprise PKI Student Workbook Installation einer Enterprise PKI Inhalt Teil 1: Installation einer Enterprise PKI Teil 2: Voraussetzungen zur Durchführung Teil 3: Zertifikate am Client Teil 4: Installation der Offline

Mehr

Benutzerzertifikate für Java Webstart

Benutzerzertifikate für Java Webstart Benutzerzertifikate für Java Webstart Benutzerdokumentation Wien 5. Dezember 2011 Florian Bruckner, Florian Heinisch 3kraft IT GmbH & Co KG Wasagasse 26/2 1090 Wien Österreich Tel: +43 1 920 45 49 Fax

Mehr

Programmiertechnik II

Programmiertechnik II X.509: Eine Einführung X.509 ITU-T-Standard: Information Technology Open Systems Interconnection The Directory: Public Key and attribute certificate frameworks Teil des OSI Directory Service (X.500) parallel

Mehr

Collax Active Directory

Collax Active Directory Collax Active Directory Howto Dieses Howto beschreibt die Konfiguration eines Collax Servers um einer Windows Active Directory Service (ADS) Domäne beizutreten. Im Englischen spricht man hierbei von einem

Mehr

WIE-SERVICE24. Konfiguration Ihres Zugangs. VPN Portal. WIE-SERVICE24.com. Technical Notes. 2011-12-03_WIESERVICE24_TN1.doc Stand: 12/2011 (Rev.

WIE-SERVICE24. Konfiguration Ihres Zugangs. VPN Portal. WIE-SERVICE24.com. Technical Notes. 2011-12-03_WIESERVICE24_TN1.doc Stand: 12/2011 (Rev. WIE-SERVICE24 Konfiguration Ihres Zugangs VPN Portal WIE-SERVICE24.com Technical Notes 2011-12-03_WIESERVICE24_TN1.doc Stand: 12/2011 (Rev. A) Inhalt Inhalt 1 Allgemeines... 3 1.1 Information... 3 1.1

Mehr

Dokumentation Active Directory Services mit Vertrauensstellungen

Dokumentation Active Directory Services mit Vertrauensstellungen Dokumentation Active Directory Services mit Vertrauensstellungen Inhaltsverzeichnis Hilfestellung... 1 Video: Installation unter VMware Workstation... 1 Schritt 1... 1 Einstellung des Computernamen...

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

estos MAPI Calendar Replicator 5.1.30.33611

estos MAPI Calendar Replicator 5.1.30.33611 estos MAPI Calendar Replicator 5.1.30.33611 1 Willkommen zu estos MAPI Calendar Replicator... 4 2 Voraussetzungen... 5 3 Funktionsweise... 6 4 Installation... 7 5 Konfiguration... 8 6 UCServer Verbindung...

Mehr

HOB Desktop-on-Demand. Quick-Referenz. HOB GmbH & Co. KG Schwadermühlstraße 3 90556 Cadolzburg

HOB Desktop-on-Demand. Quick-Referenz. HOB GmbH & Co. KG Schwadermühlstraße 3 90556 Cadolzburg HOB GmbH & Co. KG Schwadermühlstraße 3 90556 Cadolzburg Deutschland E-mail: support@hob.de Internet: www.hob.de 09.11.2005 HOB Desktop-on-Demand Quick-Referenz HOB Desktop-on-Demand - Übersicht HOB Desktop-on-Demand

Mehr

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 14.01.2015

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version 2.0.1 Deutsch 14.01.2015 Version 2.0.1 Deutsch 14.01.2015 Dieses HOWTO beschreibt die Konfiguration und Anwendung der IEEE 802.1x Authentifizierung in Kombination mit der IAC-BOX. TITEL Inhaltsverzeichnis Inhaltsverzeichnis...

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

Eduroam unter Windows 7

Eduroam unter Windows 7 Eduroam unter Windows 7 Diese Anleitung ist für die Einrichtung des Zugriffs auf das Eduroam-Netzwerk unter Windows 7. Vorbereitung: Wenn noch nie eine Verbindung zum Eduroam-Netzwerk aufgebaut wurde,

Mehr

HowTo: Einrichtung & Management von APs mittels des DWC-1000

HowTo: Einrichtung & Management von APs mittels des DWC-1000 HowTo: Einrichtung & Management von APs mittels des DWC-1000 [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.1.0.2 und höher 2. Kompatibler AP mit aktueller Firmware 4.1.0.8 und höher (DWL-8600AP,

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

Windows-Firewall-Ausnahmen Windows-Firewall-Ausnahmen für Docusnap konfigurieren

Windows-Firewall-Ausnahmen Windows-Firewall-Ausnahmen für Docusnap konfigurieren Windows-Firewall-Ausnahmen Windows-Firewall-Ausnahmen für Docusnap konfigurieren www.docusnap.com TITEL Windows-Firewall-Ausnahmen AUTOR Docusnap Consulting DATUM 14.04.2015 Die Weitergabe, sowie Vervielfältigung

Mehr

Zertifizierungsrichtlinien

Zertifizierungsrichtlinien Zertifizierungsrichtlinien Certification Practice Statement (CPS) Migros Corporate PKI NG-PKI 2014 Interne CA Hierarchie keyon AG Schlüsselstrasse 6 8645 Jona Tel +41 55 220 64 00 www.keyon.ch Switzerland

Mehr

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware [Voraussetzungen] 1. DWC-1000 mit Firmware Version: 4.2.0.3_B502 und höher

Mehr

MySQL Community Server 5.1 Installationsbeispiel

MySQL Community Server 5.1 Installationsbeispiel MySQL Community Server 5.1 Installationsbeispiel Dieses Dokument beschreibt das Herunterladen der Serversoftware, die Installation und Konfiguration der Software. Bevor mit der Migration der untermstrich-datenbank

Mehr

Nutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de

Nutzerauthentifizierung mit 802.1X. Torsten Kersting kersting@dfn.de Nutzerauthentifizierung mit 802.1X Torsten Kersting kersting@dfn.de Inhalt EAP Protokoll EAP Methoden 802.1X Netzwerk Port Auth. 802.1X in WLAN s 802.11i (TKIP, CCMP, RSN) Einführung Design Fehler in statischem

Mehr

Konfigurationsbeispiel USG & ZyWALL

Konfigurationsbeispiel USG & ZyWALL ZyXEL OTP (One Time Password) mit IPSec-VPN Konfigurationsbeispiel USG & ZyWALL Die Anleitung beschreibt, wie man den ZyXEL OTP Authentication Radius Server zusammen mit einer ZyWALL oder einer USG-Firewall

Mehr

SECARDEO. certbox.org. Benutzer-Handbuch. Secardeo GmbH Stand: 07.11.2012

SECARDEO. certbox.org. Benutzer-Handbuch. Secardeo GmbH Stand: 07.11.2012 certbox.org Benutzer-Handbuch Secardeo GmbH Stand: 07.11.2012 certbox.org Benutzerhandbuch 07.11.2012 Inhaltsverzeichnis Inhaltsverzeichnis... ii 1 Einführung... 1 2 Manuelle und automatisierte Zertifikatssuche...

Mehr

Horstbox Professional (DVA-G3342SB)

Horstbox Professional (DVA-G3342SB) Horstbox Professional (DVA-G3342SB) Anleitung zur Einrichtung eines VoIP Kontos mit einem DPH-120S Telefon im Expertenmodus: Vorraussetzung ist, dass die Horstbox bereits mit den DSL Zugangsdaten online

Mehr

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. Schnellinstallations Anleitung: Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet. 1) Verkabeln Sie Ihr Netzwerk. Schließen Sie den Router ans Stromnetz,

Mehr

Knowledge Base Importieren von Zertifikaten

Knowledge Base Importieren von Zertifikaten Datum 25.02.10 14:50 Hersteller Fortinet, Seppmail, Watchguard, Mailfoundry Modell Type(n) n/a Firmware Copyright Boll Engineering AG, Wettingen Autor Tech-Abteilung Dokument-Version 1.1 Situation: In

Mehr

Manuelle Installation des SQL Servers:

Manuelle Installation des SQL Servers: Manuelle Installation des SQL Servers: Die Installation des SQL Servers ist auf jedem Windows kompatiblen Computer ab Betriebssystem Windows 7 und.net Framework - Version 4.0 möglich. Die Installation

Mehr

Einrichten der Windows Authentication im Active Directory auf Windows 2000 Server und MS SQL Server 2005 Express für opus i

Einrichten der Windows Authentication im Active Directory auf Windows 2000 Server und MS SQL Server 2005 Express für opus i Einrichten der Windows Authentication im Active Directory auf Windows 2000 Server und MS SQL Server 2005 Express für opus i Die nachfolgende Dokumentation setzt ein Windows 2000 Server Betriebssystem oder

Mehr

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS

Workshop SQL Server-Installation Installation des Microsoft SQL Server 2005 EXPRESS Herzlich willkommen zu den Workshops von Sage. In diesen kompakten Anleitungen möchten wir Ihnen Tipps, Tricks und zusätzliches Know-how zu Ihrer Software von Sage mit dem Ziel vermitteln, Ihre Software

Mehr

NetMan Desktop Manager Quick-Start-Guide

NetMan Desktop Manager Quick-Start-Guide NetMan Desktop Manager Quick-Start-Guide In diesem Dokument wird die Installation von NetMan Desktop Manager beschrieben. Beachten Sie, dass hier nur ein Standard-Installationsszenario beschrieben wird.

Mehr

Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012

Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012 Installationscheckliste ADNOVA finance Version 2013, Stand 06.12.2012 ADNOVA finance Checkliste für die Neuinstallation in einem Windows-Netzwerk Bitte prüfen Sie auf unseren Webseiten www.landdata.de

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

Benutzerhandbuch für FaxClient für HylaFAX

Benutzerhandbuch für FaxClient für HylaFAX Benutzerhandbuch für FaxClient für HylaFAX Vielen Dank, daß Sie entschlossen haben, dieses kleine Handbuch zu lesen. Es wird Sie bei der Installation und Benutzung des FaxClients für HylaFAX unterstützen.

Mehr

802.1x. Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen

802.1x. Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen 802.1x Zugangskontrolle mit EAP und Radius in LAN und WLAN Umgebungen 1. Einleitung Angriffe auf die IT Sicherheit lassen sich in zwei Kategorien unterteilen: Angriffe von außen, z.b. über das Internet

Mehr

Internet for Guests. Interfaces. 1.0.0 Deutsch. Interfaces Seite 1/14

Internet for Guests. Interfaces. 1.0.0 Deutsch. Interfaces Seite 1/14 Internet for Guests Interfaces 1.0.0 Deutsch Interfaces Seite 1/14 Inhalt 1. PMS... 3 1.1 Hinweise... 3 1.2 Konfiguration... 4 1.2.1 VIP/Mitgliedschaft: VIP Gast kostenloser Betrieb... 5 1.2.2 VIP/Mitgliedschaft:

Mehr

Installationscheckliste ADNOVA office Version 2013, Stand 30.09.2012

Installationscheckliste ADNOVA office Version 2013, Stand 30.09.2012 Installationscheckliste ADNOVA office Version 2013, Stand 30.09.2012 ADNOVA office Checkliste für die Neuinstallation in einem Windows-Netzwerk einschl. Remote Desktop Session Host Umgebung Bitte prüfen

Mehr

MEDIZINISCH-ADMINISTRATIVE INFORMATIONSTECHNOLOGIE TEAM VSI. Benutzerhandbuch. WiFo WLAN. am Klinikum der Ludwig-Maximilians- Universität München

MEDIZINISCH-ADMINISTRATIVE INFORMATIONSTECHNOLOGIE TEAM VSI. Benutzerhandbuch. WiFo WLAN. am Klinikum der Ludwig-Maximilians- Universität München Benutzerhandbuch WiFo WLAN am Klinikum der Ludwig-Maximilians- Universität München Version 3.3 23.01.2012 WiFo WLAN Seite 1/20 INDEX INDEX 2 1. Allgemein 3 1.1. Ansprechpartner 3 1.2. Für wen ist das WLAN

Mehr

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck

ATB Ausbildung Technische Berufe Ausbildungszentrum Klybeck W-LAN einrichten Access Point Konfiguration Diese Anleitung gilt für den Linksys WAP54G. Übersicht W-LAN einrichten... 1 Access Point Konfiguration... 1 Übersicht... 1 Vorbereitung... 1 Verbindung aufnehmen...

Mehr

E-Mail-Verschlüsselung mit S/MIME und Microsoft Outlook

E-Mail-Verschlüsselung mit S/MIME und Microsoft Outlook E-Mail-Verschlüsselung mit S/MIME und Microsoft Outlook E-Mail-Verschlüsselung mit S/MIME und Windows Live Mail von Andreas Grupp ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client

DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client DCOM Einstellungen zur rechnerübergreifenden Kommunikation zwischen OPC Server und OPC Client 1. Einleitung Für die rechnerübergreifende Kommunikation zwischen OPC Client und OPC Server wird bei OPC DA

Mehr

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen

Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003. Voraussetzungen HS-Anhalt (FH) Fachbereich EMW Seite 1 von 8 Stand 04.02.2008 Installation des Zertifikats am Beispiel eines WWW-Servers unter Windows2003 Voraussetzungen Es ist keinerlei Zusatzsoftware erforderlich.

Mehr

VPN-IPSec Verbindung zwischen IPhone und bintec Router mit Zertifikaten on Demand

VPN-IPSec Verbindung zwischen IPhone und bintec Router mit Zertifikaten on Demand VPN-IPSec Verbindung zwischen IPhone und bintec Router mit Zertifikaten on Demand Diese Anleitung zeigt, wie man das IPhone per VPN IPSec Tunnel an einen bintec Router anbindet. Die VPN Verbindung wird

Mehr

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03

NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 NCP Secure Enterprise Management (Windows) Neue Features von Version 2.02 bis 1.03 What s New Haftungsausschluss Die in diesem Dokument enthaltenen Informationen können ohne Vorankündigung geändert werden

Mehr